Die Schwachstelle steckt im Immunisierungs-Modul von OpenEMR, einer freien, quelloffenen Anwendung zur Verwaltung elektronischer Patientenakten und für das Praxismanagement. Es handelt sich um eine SQL-Injection: Vom Nutzer übergebene Werte für die Patientenkennung werden ohne Parametrisierung und ohne Maskierung direkt in die WHERE-Klauseln von SQL-Abfragen eingefügt. Dadurch kann jeder angemeldete Nutzer eigene SQL-Befehle einschleusen und beliebige Datenbankabfragen ausführen. Die Folgen reichen weit: Angreifer können die gesamte Datenbank kompromittieren, geschützte Gesundheitsdaten der Patienten abgreifen, Zugangsdaten stehlen und unter Umständen sogar Schadcode aus der Ferne ausführen. Besonders heikel ist das, weil OpenEMR sensible medizinische Daten verwaltet und für die Ausnutzung lediglich ein gewöhnliches Benutzerkonto genügt – also keine erhöhten Rechte erforderlich sind.