Die Schwachstelle betrifft den Gardyn IoT Hub, die zentrale Steuereinheit des vernetzten Systems. Im Kern geht es um die Offenlegung administrativer Zugangsdaten: Diese lassen sich auf mehreren Wegen herausziehen – über die Antworten der Anwendungs-API, durch das Reverse Engineering der mobilen App sowie durch das Reverse Engineering der Geräte-Firmware. Weil die Anmeldedaten so zugänglich werden, kann ein Angreifer vollständigen administrativen Zugriff auf den IoT Hub erlangen. Damit kontrolliert er nicht nur die Steuereinheit selbst, sondern auch die daran angebundenen Geräte, die er auf diese Weise böswillig steuern kann. Der Defekt liegt also darin, dass hochprivilegierte Zugangsdaten nicht ausreichend geschützt sind und aus regulär verfügbaren Schnittstellen und Software-Artefakten rekonstruiert werden können.