Die Schwachstelle betrifft BMC FootPrints ITSM, eine Software für das IT-Service-Management. Sie steckt in der Verarbeitung des sogenannten VIEWSTATE-Parameters innerhalb der zugrunde liegenden ASP.NET-Komponente. VIEWSTATE dient dazu, den Zustand einer Weboberfläche zwischen Server und Browser zu übertragen; die Anwendung wandelt diesen Wert beim Empfang aus einer serialisierten Form zurück in Objekte. Genau bei dieser Rückwandlung vertraut die Software den übermittelten Daten zu sehr: Ein angemeldeter Angreifer kann ein eigens präpariertes serialisiertes Objekt in den VIEWSTATE-Parameter einschleusen. Beim Deserialisieren wird dieses Objekt verarbeitet und führt dazu, dass beliebiger Code auf dem System ausgeführt wird. Voraussetzung ist eine gültige Anmeldung an der Anwendung, eine weitere Benutzerinteraktion ist nicht nötig. Im Ergebnis kann der Angreifer aus der Ferne Schadcode ausführen und die Anwendung vollständig übernehmen.