Die Schwachstelle betrifft Splunk Enterprise und die Splunk Cloud Platform. Sie liegt im Umgang mit dem internen Protokoll-Index _internal, in dem die Software betriebsinterne Daten ablegt. Ein Benutzer, dessen Rolle Lesezugriff auf diesen Index besitzt, kann darin Inhalte einsehen, die dort nicht offenliegen sollten: konkret Sitzungs-Cookies sowie die Antwortkörper von Server-Antworten, die ihrerseits vertrauliche Daten enthalten können. Mit den Sitzungs-Cookies lassen sich fremde Anmeldesitzungen übernehmen, sodass ein Angreifer im Namen anderer Benutzer handeln kann; über die mitprotokollierten Antwortinhalte können zusätzlich schützenswerte Informationen abfließen. Voraussetzung ist ein bereits vorhandenes Konto mit der entsprechenden Index-Berechtigung – die Lücke eignet sich also vor allem dazu, dass ein berechtigter, aber eigentlich niedriger privilegierter Nutzer an Daten und Sitzungen gelangt, die ihm nicht zustehen.