Die Schwachstelle betrifft Adobe Commerce und ist eine gespeicherte Cross-Site-Scripting-Lücke (Stored XSS). Dabei kann ein Angreifer mit hohen Berechtigungen schädlichen Skriptcode in anfällige Formularfelder einschleusen. Der eingeschleuste Code wird dauerhaft gespeichert und später ausgeliefert: Ruft ein Opfer die Seite auf, die das betroffene Feld enthält, wird das hinterlegte JavaScript im Browser des Opfers ausgeführt. Der Angriff setzt also eine Benutzerinteraktion voraus – das Opfer muss die präparierte Seite tatsächlich aufrufen. Gelingt die Ausnutzung, kann der Angreifer eine fremde Sitzung übernehmen und im Namen des Opfers agieren. Dadurch sind sowohl die Vertraulichkeit als auch die Integrität der betroffenen Daten in hohem Maße bedroht. Da für den Angriff bereits weitreichende Rechte im System nötig sind, kommen vor allem böswillige oder kompromittierte privilegierte Konten als Ausgangspunkt in Frage.