PHP

Die Schwachstelle steckt in PHP, wenn die Skriptsprache als CGI-Programm (php-cgi) betrieben wird. Verantwortlich ist die Verarbeitung der sogenannten Query-String-Parameter – also der Werte, die in der aufgerufenen Web-Adresse hinter dem Fragezeichen übergeben werden. Fehlt in einer solchen Zeichenkette das Gleichheitszeichen, wertet php-cgi den Inhalt fälschlich aus und behandelt ihn wie Kommandozeilenoptionen des Interpreters. Ein Angreifer kann auf diesem Weg aus der Ferne und ohne Anmeldung eigene Schalter einschleusen, mit denen sich PHP-Konfiguration und -Verhalten steuern lassen. Im Ergebnis kann er beliebigen Code auf dem Server ausführen. Betroffen sind ausschließlich Installationen, in denen PHP in der CGI-Variante eingebunden ist; verbreitete Betriebsarten wie FastCGI oder das Server-Modul sind hiervon nicht in gleicher Weise erfasst. Da die Eingabe direkt über die URL erfolgt, ist der Angriffsweg unmittelbar über jeden erreichbaren Webserver offen.