Die Schwachstelle betrifft Adobe Commerce und ist ein sogenanntes Stored Cross-Site-Scripting (XSS). Dabei kann ein Angreifer, der bereits über hohe Berechtigungen im System verfügt, schädlichen Code in dafür anfällige Formularfelder einschleusen. Dieser eingeschleuste JavaScript-Code wird dauerhaft gespeichert und erst dann ausgeführt, wenn ein Opfer die Seite aufruft, auf der sich das manipulierte Feld befindet – die Ausführung läuft im Browser des Opfers ab. Der Angriff erfordert also eine Benutzerinteraktion, nämlich den Aufruf der betroffenen Seite. Gelingt die Ausnutzung, kann der Angreifer die Sitzung des Opfers übernehmen und auf diesem Weg sowohl vertrauliche Daten einsehen als auch Inhalte unbefugt verändern. Da der Angriff von einem Konto mit hohen Rechten ausgeht und die Schadwirkung erst beim ahnungslosen Aufruf durch ein Opfer eintritt, richtet sich die Gefahr vor allem gegen Nutzer der betroffenen Verwaltungs- oder Formularseiten.