Die Schwachstelle betrifft Wazuh, eine quelloffene Plattform zur Erkennung, Abwehr und Bearbeitung von Bedrohungen. Ursache ist die unsichere Deserialisierung nicht vertrauenswürdiger Daten, die zu einer entfernten Codeausführung (Remote Code Execution) führt. Betroffen sind alle Wazuh-Installationen, die im Cluster-Modus mit einer Master-Worker-Architektur betrieben werden. Verschafft sich ein Angreifer Zugriff auf einen Worker-Knoten – etwa durch einen vorausgegangenen Erstzugriff, durch einen Innentäter oder über einen Angriff auf die Lieferkette –, kann er von dort aus über die manipulierte Deserialisierung beliebigen Code auf dem Master-Knoten ausführen, und zwar mit Root-Rechten. Damit erlangt er die vollständige Kontrolle über den zentralen Knoten des Clusters. Da Wazuh selbst der Bedrohungserkennung dient, ist eine Übernahme des Master-Knotens besonders kritisch: Der Angreifer kontrolliert dann ausgerechnet das System, das Sicherheitsvorfälle aufdecken soll.