Die Schwachstelle steckt in der Zwei-Faktor-Authentifizierung der Quest KACE Systems Management Appliance (SMA), einer Lösung zur zentralen Verwaltung von Endgeräten. Es handelt sich um einen Logikfehler in der Implementierung der 2FA: Der Prüfvorgang, der eigentlich einen zeitbasierten Einmalcode (TOTP) verlangt, lässt sich umgehen. Voraussetzung ist, dass der Angreifer bereits über gültige Anmeldedaten verfügt – also ein authentifizierter Nutzer ist. Ein solcher Nutzer kann die vorgeschriebene zweite Authentifizierungsstufe aushebeln und sich so Zugang verschaffen, der ihm ohne den fehlerhaften Prüfablauf verwehrt bliebe. Der Defekt hebelt damit genau jene Schutzschicht aus, die ein gestohlenes oder zu schwaches Passwort allein wirkungslos machen soll, und ermöglicht einen erweiterten Zugriff innerhalb der Verwaltungslösung.