Die Schwachstelle betrifft BMC FootPrints ITSM, eine Software für das IT-Service-Management. Sie steckt in der API-Komponente searchWeb und ist eine blinde Server-Side Request Forgery (SSRF): Ein bereits angemeldeter Angreifer kann den Server dazu bringen, beliebige ausgehende Netzwerkanfragen zu stellen. Ursache ist eine unzureichende Prüfung der übergebenen URLs. Da der Server diese Anfragen selbst absendet, lassen sie sich auch an Ziele richten, die normalerweise nur aus dem internen Netz erreichbar sind. Dadurch kann ein Angreifer interne Netzbereiche abtasten oder mit internen Diensten interagieren, die von außen eigentlich abgeschottet sind. „Blind" bedeutet, dass die Antworten der ausgelösten Anfragen für den Angreifer nicht direkt sichtbar sind; ausnutzbar bleibt der Defekt dennoch. Als Folge wird die Verfügbarkeit des Systems beeinträchtigt. Voraussetzung für den Angriff ist ein gültiger Zugang zur Anwendung.