Die Schwachstelle betrifft QHora und besteht in einer SQL-Injection. Bei dieser Art von Defekt schleust ein Angreifer eigene Datenbankbefehle in eine Eingabe ein, die das Gerät ungeprüft an seine Datenbank weiterreicht. Die Ausnutzung setzt allerdings einen lokalen Zugang mit Administratorrechten voraus: Erst wenn ein Angreifer bereits über ein Administratorkonto verfügt, kann er die Lücke nutzen, um darüber unautorisiert eigenen Code oder Befehle auszuführen. Der Angriff erfordert also eine vorhandene privilegierte Anmeldung und ist kein anonymer Fernzugriff. Gelingt die Ausnutzung, kann der Angreifer aus den Datenbankrechten ausbrechen und auf dem Gerät Aktionen anstoßen, die über die eigentliche Datenbankabfrage hinausgehen. Betroffen sind die entsprechenden Router-Geräte, auf denen QHora eingesetzt wird.