Die Schwachstelle steckt im MicrositeUrl-Modul von Salesforce Marketing Cloud Engagement. Sie beruht auf einer unzureichenden Filterung von Argument-Trennzeichen bei der Verarbeitung von Befehlen – einer sogenannten Argument-Injektion. Dabei schleust ein Angreifer in eine eigentlich harmlose Eingabe zusätzliche Trennzeichen und Parameter ein, die das System fälschlich als eigenständige Befehlsargumente interpretiert. Dadurch lässt sich der über das Web-Services-Protokoll abgewickelte Ablauf manipulieren: Der Angreifer kann das Verhalten der zugrunde liegenden Aufrufe in seinem Sinne verändern und Funktionen oder Parameter ansprechen, die nicht für ihn vorgesehen sind. Betroffen ist die Marketing-Plattform Salesforce Marketing Cloud Engagement, konkret die für Microsite-URLs zuständige Komponente.