Die Schwachstelle betrifft Splunk Enterprise sowie die Splunk Cloud Platform. Sie ermöglicht es einem angemeldeten Benutzer, der eine Rolle mit der hochprivilegierten Fähigkeit edit_cmd besitzt, beliebige Shell-Befehle auf dem System auszuführen. Ausgenutzt wird dies über den Parameter unarchive_cmd beim Aufruf des REST-Endpunkts für die Indizierungs-Vorschau (/splunkd/__upload/indexing/preview). Statt nur die vorgesehene Vorschau-Funktion zu nutzen, schleust der Angreifer über diesen Parameter eigene Befehle ein, die das System anschließend auf Betriebssystemebene ausführt. Voraussetzung ist also kein anonymer Zugriff, sondern ein Konto mit der genannten weitreichenden Berechtigung – diese Rolle kann ihre eigentlich auf die Anwendung begrenzten Rechte damit zu einer vollständigen Befehlsausführung auf dem darunterliegenden Server ausweiten. Betroffen sind sowohl die selbst betriebene Variante als auch die Cloud-Plattform.