Die Schwachstelle betrifft die Software Agentflow des Herstellers Flowring. Ihr liegt eine fehlende Authentifizierung zugrunde: Eine bestimmte Funktion der Anwendung lässt sich aufrufen, ohne dass zuvor eine Anmeldung oder eine andere Form der Zugangskontrolle erforderlich wäre. Dadurch kann ein Angreifer aus der Ferne und ohne gültige Zugangsdaten auf die dahinterliegende Datenbank zugreifen. Der Zugriff beschränkt sich nicht auf das bloße Lesen: Ein Angreifer kann die in der Datenbank gespeicherten Inhalte einsehen, verändern und auch löschen. Damit ist die Vertraulichkeit der gespeicherten Daten ebenso gefährdet wie deren Integrität und Verfügbarkeit – im Extremfall lassen sich ganze Datenbestände manipulieren oder vernichten. Betroffen sind Installationen von Agentflow, bei denen die verwundbare Funktion über das Netz erreichbar ist; da keinerlei Authentifizierung verlangt wird, steht der Angriffsweg unmittelbar offen.