Die Schwachstelle steckt in den ControlLogix-Kommunikationsmodulen der Reihen 1756 EN2* und 1756 EN3* von Rockwell Automation – Baugruppen, die industrielle Steuerungen mit dem Netzwerk verbinden. Über speziell präparierte CIP-Nachrichten (das in der Automatisierungstechnik gebräuchliche Common Industrial Protocol) kann ein Angreifer aus der Ferne eigenen Code auf dem betroffenen Gerät ausführen. Besonders schwerwiegend ist, dass sich dieser Zugriff dauerhaft im System verankern lässt (Persistenz) und damit auch einen Neustart übersteht. Hat der Angreifer die Kontrolle über das Modul erlangt, kann er den über das Gerät laufenden Datenverkehr nach Belieben verändern, blockieren oder unbemerkt ausleiten. Da diese Module den Datenfluss zwischen Steuerung und Anlage vermitteln, betrifft eine Übernahme nicht nur das Gerät selbst, sondern die Integrität und Verfügbarkeit der industriellen Prozesse, die darüber gesteuert und überwacht werden.