PHPUnit

Die Schwachstelle steckt in der Datei eval-stdin.php innerhalb der Test-Bibliothek PHPUnit, die Entwickler üblicherweise als Abhängigkeit in ein Projekt einbinden. Diese Datei nimmt Eingabedaten entgegen und führt darin enthaltenen PHP-Code unmittelbar aus. Beginnt der Inhalt einer per HTTP-POST gesendeten Anfrage mit der Zeichenfolge eines PHP-Eröffnungs-Tags, wird der nachfolgende Code direkt auf dem Server ausgeführt. So kann ein entfernter, nicht angemeldeter Angreifer beliebigen PHP-Code einschleusen und ausführen. Voraussetzung ist, dass das vendor-Verzeichnis mit den Projekt-Abhängigkeiten öffentlich aus dem Internet erreichbar ist und die betroffene Datei direkt über ihre URL aufgerufen werden kann. Eigentlich ist PHPUnit nur ein Werkzeug für die Testphase und gehört nicht auf produktive Webserver; ist es dort dennoch erreichbar, genügt ein einzelner präparierter Aufruf zur vollständigen Codeausführung.