Die Schwachstelle betrifft Apache NiFi und liegt in einer fehlenden Berechtigungsprüfung beim Ändern von Konfigurationseigenschaften bestimmter Erweiterungskomponenten. Manche dieser Komponenten sind als „eingeschränkt" markiert, weil sie zusätzliche Rechte erfordern – das Hinzufügen einer solchen Komponente zum Datenfluss ist nur höher privilegierten Benutzern erlaubt. Die Berechtigungsprüfung des Frameworks griff jedoch nur beim erstmaligen Hinzufügen, nicht beim späteren Ändern einer bereits eingebundenen Komponente. Dadurch kann ein Benutzer mit geringeren Rechten die Konfigurationseigenschaften einer eingeschränkten Komponente verändern, obwohl ihm das eigentlich verwehrt sein müsste. Betroffen sind nur Installationen, die für eingeschränkte Komponenten überhaupt abgestufte Berechtigungen einsetzen. Wo das Framework allein die Schreibrechte als Sicherheitsgrenze nutzt und keine gesonderten Rechte für eingeschränkte Komponenten vergeben werden, besteht die Lücke nicht.