Die Schwachstelle steckt in der Komponente applyCT der Hikvision Integrated Security Management Platform und geht auf die Verwendung einer angreifbaren Version der Fastjson-Bibliothek zurück. Der betroffene Endpunkt der Plattform verarbeitet von außen übergebene Daten und führt eine Deserialisierung dieser nicht vertrauenswürdigen Eingaben durch. Dabei lässt sich die sogenannte Auto-Type-Funktion von Fastjson missbrauchen, mit der die Bibliothek beliebige Java-Klassen lädt. Ein Angreifer kann über eine präparierte Anfrage auf eine schädliche Klasse verweisen – diese wird mittels einer LDAP-Adresse von einem externen Server nachgeladen. Auf diesem Weg gelangt fremder Code auf das System und wird dort ausgeführt. Der Angriff funktioniert aus der Ferne und ohne vorherige Anmeldung, sodass keine gültigen Zugangsdaten erforderlich sind. Gelingt die Ausnutzung, kann der Angreifer beliebige Befehle auf dem zugrunde liegenden System ausführen und sich so die Kontrolle über die Plattform verschaffen. Eine Ausnutzung dieser Lücke wurde bereits in freier Wildbahn beobachtet.