Die Schwachstelle betrifft QHora-Router von QNAP, deren Routerfunktionen über die QuRouter-Software bereitgestellt werden. Es handelt sich um eine unzureichende Beschränkung eines Kommunikationskanals auf die vorgesehenen Endpunkte: Der Kanal lässt sich auch von einer Gegenstelle ansprechen, für die er gar nicht bestimmt ist. Ein Angreifer, der sich physischen Zugang zum Gerät verschafft, kann diese Schwäche ausnutzen und sich dadurch genau die Berechtigungen aneignen, die eigentlich nur dem ursprünglich vorgesehenen Endpunkt zustehen. Er übernimmt also dessen Rechtestellung und kann in dessen Namen mit dem System kommunizieren. Da der Angriff physischen Zugriff voraussetzt, ist er nicht aus der Ferne durchführbar; gefährdet sind vor allem Geräte an frei zugänglichen oder schlecht abgesicherten Standorten. Weil Router zentrale Netzwerkinfrastruktur sind, kann ein so erlangter Zugriff Auswirkungen auf den gesamten darüber laufenden Netzverkehr haben.