Die Schwachstelle steckt im Splunk AI Toolkit, einer Erweiterung für die Splunk-Enterprise-Plattform. Sie erlaubt es, beliebige Betriebssystembefehle auf dem Host auszuführen, auf dem die Splunk-Enterprise-Instanz läuft. Voraussetzung ist allerdings, dass der Angreifer bereits über ein Konto mit der Splunk-Administratorrolle verfügt – es handelt sich also nicht um einen Angriff durch beliebige Außenstehende, sondern um eine Rechteausweitung von der Anwendungsebene auf die Ebene des Betriebssystems. Ursache ist ein unsicheres Muster bei der Shell-Ausführung im Konfigurationshelfer btool: Dieser baut die auszuführenden Befehlszeichenketten aus dynamisch übergebenen Parametern zusammen, ohne die Interpretation durch die Shell zu unterbinden. Dadurch lassen sich über manipulierte Parameter eigene Befehle einschleusen. Im Erfolgsfall führt der Angreifer Befehle mit den Rechten des Splunk-Dienstes auf dem darunterliegenden System aus und kann so den Host weit über die eigentliche Anwendung hinaus kontrollieren.