Die Schwachstelle betrifft Adobe Commerce und ist eine sogenannte gespeicherte Cross-Site-Scripting-Lücke (stored XSS). Sie sitzt in bestimmten Formularfeldern der Anwendung, die Benutzereingaben nicht ausreichend filtern. Ein Angreifer mit lediglich geringen Berechtigungen kann dadurch schädlichen Skriptcode in diese verwundbaren Felder einschleusen. Der eingeschleuste JavaScript-Code wird dauerhaft gespeichert und später im Browser eines Opfers ausgeführt, sobald dieses die Seite aufruft, die das manipulierte Feld enthält. Die Ausnutzung setzt also eine Benutzerinteraktion voraus: Das Opfer muss die betroffene Seite tatsächlich aufrufen. Gelingt der Angriff, kann er bis zur Übernahme der Sitzung des Opfers führen – der Angreifer kann fremde Sitzungen kapern und in deren Kontext agieren. Dadurch sind sowohl die Vertraulichkeit als auch die Integrität der betroffenen Daten erheblich bedroht.