Im Kern steckt der Fehler in der Funktion escape_quotes(), die Benutzereingaben bereinigen soll, bevor sie an einen Shell-Befehl übergeben werden. Ihr Zweck ist es, einfache Anführungszeichen so zu maskieren, dass Angreifer nicht aus einer quoted Zeichenkette ausbrechen und Befehle einschleusen können. Laut der technischen Analyse wurde jedoch ein Speicherpuffer reserviert, ohne ihn vorher zu initialisieren, zudem fehlte am Ende der bereinigten Zeichenkette ein Null-Terminierungszeichen.

Genau dieses fehlende Terminierungszeichen macht die Ausnutzung möglich. Dadurch liest das System über das Ende der bereinigten Eingabe hinaus weiter und verarbeitet angrenzende Daten im Speicher. watchTowr Labs beschreibt, dass Angreifer diesen Bereich beeinflussen können, indem sie in derselben API-Anfrage zusätzliche JSON-Schlüssel mit Nutzlasten zur Befehlsinjektion unterbringen. Das System verarbeitet dann zunächst die bereinigte Eingabe, liest weiter bis zur eingeschleusten Nutzlast und führt den enthaltenen Befehl aus.

Ziel des Angriffs ist laut Quelle der Endpunkt /accessv2, der die Validierung von API-Anmeldedaten übernimmt. Dazu wird ein JSON-Body mit einem speziell präparierten apiuser-Wert und zahlreichen zusätzlichen Schlüssel-Wert-Paaren gesendet, die den auszuführenden Befehl enthalten. Gültige Zugangsdaten sind dafür nicht erforderlich. Der Befehl läuft anschließend mit Root-Rechten.

Progress veröffentlichte seinen Sicherheitshinweis am 4. Juni und erklärte, man habe keine Berichte über eine Ausnutzung erhalten. Die Schwachstelle war von Syed Ibrahim Ahmed von TrendAI Research entdeckt und am 15. April 2026 über die Zero Day Initiative an Progress gemeldet worden. Die Zero Day Initiative koordinierte die öffentliche Veröffentlichung des Hinweises am 9. Juni. watchTowr Labs analysierte später unabhängig die Unterschiede im Patch und veröffentlichte am 29. Juni eine eigene technische Aufarbeitung mit funktionierendem Proof of Concept.

Der eigentliche Fix fällt knapp aus. Nach Angaben im Quelltext wurden zwei Änderungen vorgenommen: Die Speicherreservierung wurde von einer Funktion umgestellt, die den Puffer uninitialisiert lässt, auf eine Variante, die ihn mit Nullen füllt. Außerdem wurde hinter die maskierte Ausgabe explizit ein Null-Terminierungszeichen gesetzt.

Im selben Sicherheitshinweis hat Progress noch eine zweite Schwachstelle mit hohem Schweregrad behoben: CVE-2026-33691. Dabei handelt es sich um eine Umgehung der WAF, bei der Leerraum in Dateinamen Prüfungen von Dateiendungen beim Upload aushebeln kann.

Für LoadMaster ist es nicht die erste schwerwiegende Lücke. Im November 2024 nahm CISA eine frühere Kommandoinjektionslücke in LoadMaster, CVE-2024-1212 mit CVSS 10,0, nach bestätigter Ausnutzung in freier Wildbahn in den Katalog der bekannten ausgenutzten Schwachstellen auf. Im April 2026 hatte Progress zudem fünf weitere LoadMaster-Schwachstellen mit hohem Schweregrad behoben, darunter vier Kommandoinjektionsfehler. Progress ist außerdem Hersteller von MOVEit, dessen Schwachstellen aus dem Jahr 2023 eine Massen-Ausnutzungskampagne der Ransomware-Gruppe Cl0p befeuerten.