Die Schwachstelle betrifft SolarWinds Web Help Desk, eine Software für die Verwaltung von IT-Service- und Support-Anfragen. Der Fehler liegt in der unsicheren Verarbeitung serialisierter Java-Objekte: Die Anwendung nimmt von außen übergebene Datenobjekte entgegen und wandelt sie zurück in interne Objekte, ohne deren Inhalt ausreichend zu prüfen. Über speziell präparierte Daten kann ein Angreifer diesen Deserialisierungsvorgang missbrauchen, um eigene Befehle auf dem Host-System auszuführen, auf dem die Software läuft – ein Angriff, der bis zur Fernausführung von Code reicht. Besonders schwerwiegend ist, dass sich die Lücke ohne vorherige Anmeldung ausnutzen lässt: Ein unauthentifizierter Angreifer benötigt keine gültigen Zugangsdaten, um die Kontrolle über das betroffene System zu erlangen. Da Web Help Desk häufig zentral im Unternehmensnetz betrieben wird, kann eine erfolgreiche Übernahme weitreichende Folgen für die dahinterliegende Infrastruktur haben.