Die Schwachstelle betrifft den in den TP-Link-Routern Archer NX200, NX210, NX500 und NX600 integrierten HTTP-Server, also die webbasierte Verwaltungsschnittstelle der Geräte. Dort fehlt bei bestimmten CGI-Endpunkten die Prüfung, ob der Zugriff überhaupt von einem angemeldeten Benutzer stammt. Funktionen, die eigentlich nur authentifizierten Benutzern offenstehen sollten, lassen sich dadurch ohne jede Anmeldung aufrufen. Ein Angreifer kann auf diesem Weg privilegierte HTTP-Aktionen ausführen, ohne sich zuvor auszuweisen – darunter das Einspielen neuer Firmware und das Ändern der Gerätekonfiguration. Damit erlangt er weitreichende Kontrolle über das betroffene Gerät: Wer eigene Firmware aufspielen kann, kann das Verhalten des Routers grundlegend verändern und ihn dauerhaft unter seine Kontrolle bringen. Da Router an der Schnittstelle zwischen lokalem Netz und Internet sitzen, betrifft eine Übernahme nicht nur das Gerät selbst, sondern den gesamten darüber geführten Datenverkehr.