Die Schwachstelle betrifft Temporal und tritt auf, wenn die Funktion zum Ausführen mehrerer Operationen in einem Aufruf (enableExecuteMultiOperation) aktiviert ist. Bei einer solchen kombinierten Anfrage ist eine Anfrage zum Starten einer Workflow-Ausführung eingebettet. Der Fehler liegt darin, dass der Server die mandantenbezogene Prüfung – also die Gültigkeitskontrollen, Limits und Freischaltungen (Feature Gates) eines Namespace – anhand des Namespace-Felds dieser eingebetteten Start-Anfrage durchführt statt anhand des äußeren, tatsächlich autorisierten Namespace. Dadurch kann ein Aufrufer, der nur für einen bestimmten Namespace berechtigt ist, dessen Grenzen und Richtlinien umgehen, indem er im eingebetteten Start-Auftrag einen anderen Namespace einträgt. Der Workflow wird zwar weiterhin im äußeren, autorisierten Namespace angelegt – doch die Prüfung und Freigabe erfolgen im Kontext des falschen Namespace. So lassen sich die für den eigenen Namespace geltenden Beschränkungen und Schutzregeln aushebeln.