Diese Schwachstelle betrifft mehrere Produkte von Fortinet – das Firewall-Betriebssystem FortiOS, die Zugriffsverwaltung FortiPAM, den Proxy FortiProxy sowie den FortiSwitchManager. Es handelt sich um einen Path-Traversal-Fehler: Die Software begrenzt einen übergebenen Dateipfad nicht ausreichend auf das vorgesehene Verzeichnis, sodass sich über manipulierte Pfadangaben auch Bereiche außerhalb davon ansprechen lassen. Ausnutzen lässt sich der Defekt über bestimmte Befehle der Kommandozeile (CLI). Voraussetzung ist allerdings ein bereits angemeldeter Angreifer, der über ein Administratorprofil mit mindestens Lese- und Schreibrechten verfügt. Mit diesen Rechten kann er beliebige Dateien auf dem System schreiben oder löschen und dadurch Konfigurationen oder Systemdateien außerhalb des eigentlich zulässigen Bereichs verändern. Da die Lücke gültige administrative Zugangsdaten erfordert, richtet sich das Risiko vor allem gegen Umgebungen mit mehreren Verwaltungskonten unterschiedlicher Vertrauensstufe.