Die Schwachstelle steckt in der RSS-Schnittstelle der IT-Service-Management-Software BMC FootPrints ITSM, genauer in der Komponente, die externe Feeds einbindet (externalfeed/RSS-API). Es handelt sich um eine sogenannte blinde Server-Side Request Forgery (SSRF): Ein angemeldeter Angreifer kann die Anwendung dazu bringen, in seinem Auftrag beliebige ausgehende Netzwerkanfragen vom Server aus zu stellen. Ursache ist, dass von außen übergebene Verweise auf abzurufende Ressourcen nicht ausreichend geprüft werden. Über diesen Weg lässt sich der Server als Sprungbrett missbrauchen, um auf interne, eigentlich nicht von außen erreichbare Dienste zuzugreifen. Ebenso kann der Angreifer durch erzwungene Anfragen Ressourcen erschöpfen und so die Verfügbarkeit der Anwendung beeinträchtigen. „Blind" bedeutet dabei, dass der Angreifer die Antworten der ausgelösten Anfragen nicht direkt zu sehen bekommt, die Anfragen aber dennoch ausgeführt werden. Voraussetzung für die Ausnutzung ist ein gültiges Benutzerkonto in der Anwendung.