Die Voraussetzungen für einen erfolgreichen Angriff sind nicht trivial. Sicherheitsforscher Kevin Beaumont erklärte, die Lücke setze eine bestimmte NGINX-Konfiguration voraus, und ein Angreifer müsse diese Konfiguration kennen oder herausfinden, um sie auszunutzen. Für eine Remote-Code-Ausführung müsse zudem ASLR auf dem System deaktiviert sein.
Zu einer ähnlichen Einschätzung kommen die Maintainer von AlmaLinux. Den Heap-Overflow in eine zuverlässige Codeausführung zu überführen sei in der Standardkonfiguration nicht trivial; auf Systemen mit aktiviertem ASLR — was bei jeder unterstützten AlmaLinux-Version voreingestellt ist — sei ein allgemein einsetzbarer, zuverlässiger Exploit nach ihrer Erwartung nicht leicht zu erstellen. Zugleich betonten sie, „nicht leicht" sei nicht gleichbedeutend mit „unmöglich", und der durch den Worker-Absturz ausgelöste Denial-of-Service sei für sich genommen ausnutzbar genug, um die Schwachstelle als dringend zu behandeln.
Die jüngsten Erkenntnisse von VulnCheck zeigen, dass Bedrohungsakteure begonnen haben, die Lücke zu missbrauchen — belegt durch Angriffsversuche gegen die Honeypot-Netzwerke des Unternehmens.
Parallel meldete VulnCheck Ausnutzungsversuche gegen zwei kritische Schwachstellen in openDCIM, einer quelloffenen Anwendung zur Verwaltung von Rechenzentrumsinfrastruktur. Beide Lücken sind mit einem CVSS-Wert von 9.3 bewertet. Entdeckt wurden sie zusammen mit CVE-2026-28516 (CVSS 9.3), einer SQL-Injection-Schwachstelle in openDCIM, durch den VulnCheck-Sicherheitsforscher Valentin Lobstein im Februar 2026.
Laut Lobstein lassen sich die drei Schwachstellen verketten, um über fünf HTTP-Anfragen eine Remote-Code-Ausführung zu erreichen und eine Reverse Shell zu starten.
Caitlin Condon, Vice President of Security Research bei VulnCheck, berichtete, die bislang beobachteten Angriffsaktivitäten gingen von einer einzelnen chinesischen IP-Adresse aus. Sie nutzten offenbar eine angepasste Variante des KI-gestützten Schwachstellen-Suchwerkzeugs Vulnhuntr, um automatisiert nach verwundbaren Installationen zu suchen, bevor eine PHP-Webshell abgelegt werde.
