Die Schwachstelle steckt im Modul tts (Text to Speech) von FreePBX, einer quelloffenen, webbasierten Bedienoberfläche zur Verwaltung der Telefonanlage Asterisk. Es handelt sich um eine SQL-Injection: Über manipulierte Eingaben lassen sich eigene Datenbankbefehle in eine Abfrage des Moduls einschleusen. Ausnutzen lässt sich der Defekt nur durch angemeldete Benutzer mit administrativem Zugang zum Administrator Control Panel (ACP) – also nicht anonym aus dem Internet, sondern durch jemanden, der bereits über Verwaltungsrechte verfügt oder sich diese verschafft hat. Über die eingeschleusten Befehle kann ein Angreifer schützenswerte Inhalte aus der Datenbank auslesen. Darüber hinaus lässt sich der Fehler zur Codeausführung auf dem System ausweiten: Zunächst wird Code im Kontext des Dienstkontos asterisk ausgeführt, von dem aus sich die Rechte in einer Angriffskette bis auf Root-Ebene – die vollständige Systemkontrolle – steigern lassen. Damit ist die gesamte Telefonanlage betroffen.