Die Schwachstelle steckt im CGI-Programm zum Herunterladen des TR-369-Zertifikats in der Firmware des Zyxel-Geräts VMG3625-T50B. Dabei handelt es sich um eine Befehlsinjektion: Über eine fehlerhafte Verarbeitung von Eingaben lassen sich eigene Betriebssystembefehle in die Funktion einschleusen und auf dem betroffenen Gerät ausführen. Die Ausnutzung setzt allerdings voraus, dass der Angreifer bereits angemeldet ist und über Administratorrechte verfügt – es handelt sich also um eine Post-Authentication-Lücke. Ein so privilegierter Angreifer kann seine Kontrolle über die reine Geräteverwaltung hinaus ausweiten und Befehle direkt auf der zugrunde liegenden Betriebssystemebene absetzen. Da das betroffene Gerät als Router beziehungsweise Gateway am Netzwerkrand betrieben wird, bedeutet eine erfolgreiche Ausnutzung, dass der Angreifer den über das Gerät laufenden Datenverkehr und die Netzwerkanbindung manipulieren kann.