Die Schwachstelle betrifft Redis, einen weit verbreiteten In-Memory-Datenspeicher. Der Fehler steckt in der Lua-Skriptfunktion in Verbindung mit dem Synchronisationsmechanismus zwischen Master- und Replica-Instanzen. Ein bereits angemeldeter Angreifer kann diesen Replikationsablauf so missbrauchen, dass auf einer Replica ein Speicherzugriff nach der Freigabe (Use-after-free) ausgelöst wird – also auf einen Speicherbereich zugegriffen wird, der bereits freigegeben wurde. Voraussetzung ist, dass auf der betroffenen Replica der reine Lesemodus (replica-read-only) deaktiviert ist oder deaktiviert werden kann. In der Folge kann der Angreifer aus der Ferne eigenen Code auf dem Server ausführen und damit die Kontrolle über die Instanz erlangen. Abmildern lässt sich das Risiko, indem man Benutzern das Ausführen von Lua-Skripten untersagt oder Replicas mit deaktiviertem Lesemodus vermeidet. Betroffen sind Redis-Server-Installationen, bei denen die genannten Bedingungen zutreffen.