Die Schwachstelle betrifft OpenEMR, eine quelloffene Anwendung zur Verwaltung elektronischer Patientenakten und Arztpraxen. Sie liegt im FHIR-Endpunkt für die Ressource CareTeam, über die Behandlungsteam-Daten abgefragt werden. Eigentlich soll ein patientenbezogenes FHIR-Zugriffstoken nur die Daten des jeweils angemeldeten Patienten freigeben. Durch einen Fehler in der Zugriffskontrolle umgeht dieser Endpunkt jedoch die patientenbezogene Eingrenzung: Ein solches Token erhält Zugriff auf die Behandlungsteam-Daten sämtlicher Patienten statt nur auf die eigenen. Ursache ist, dass der zuständige Dienst die Schnittstelle für die patientenbezogene Filterung nicht umsetzt und den entsprechenden Bindungsparameter nicht an den darunterliegenden Dienst weiterreicht, wodurch der Filtermechanismus übersprungen wird. In der Folge können geschützte Gesundheitsdaten unbefugt offengelegt werden – darunter die Zuordnung von Patienten zu ihren Behandlern sowie die Struktur der Behandlungsteams über das gesamte System hinweg.