Die Schwachstelle betrifft den Oracle Identity Manager sowie den Oracle Web Services Manager, zwei Bestandteile der Produktfamilie Oracle Fusion Middleware. Beim Identity Manager liegt der Defekt in der REST-Webservices-Komponente, beim Web Services Manager in der Komponente für die Web-Services-Sicherheit. Der Fehler lässt sich aus der Ferne über das HTTP-Protokoll und ohne vorherige Anmeldung ausnutzen: Ein unauthentifizierter Angreifer mit Netzwerkzugang kann die betroffenen Komponenten angreifen, ohne gültige Zugangsdaten zu besitzen und ohne dass ein Benutzer mitwirken muss. Ein erfolgreicher Angriff führt zur vollständigen Übernahme beider Produkte – der Angreifer erlangt also die volle Kontrolle und kann Daten lesen, verändern und die Verfügbarkeit beeinträchtigen. Zu beachten ist, dass der Oracle Web Services Manager zusammen mit einer Oracle-Fusion-Middleware-Infrastruktur installiert wird und damit überall dort vorhanden sein kann, wo diese Infrastruktur eingesetzt wird. Da der Identity Manager zentral die Verwaltung von Benutzerkonten und Berechtigungen steuert, ist eine Übernahme besonders folgenreich.