Die Schwachstelle ist eine Server-Side Request Forgery (SSRF) in Azure IoT Explorer, einem Werkzeug zur Verwaltung und Überwachung von IoT-Geräten. Bei einer SSRF bringt der Angreifer die Anwendung dazu, Netzwerkanfragen an ein von ihm bestimmtes Ziel zu senden – die Anfrage geht also vom Server bzw. der Anwendung selbst aus und nicht vom Angreifer direkt. Ausnutzen lässt sich der Defekt über das Netzwerk durch einen nicht autorisierten Angreifer, der dafür keine gültige Berechtigung benötigt. Auf diese Weise kann er Spoofing betreiben, also eine Identität oder Herkunft vortäuschen: Anfragen erscheinen, als kämen sie aus einer vertrauenswürdigen Quelle. Dadurch lassen sich Schutzmechanismen umgehen, die auf der Herkunft von Anfragen beruhen, und unter Umständen interne oder sonst abgeschirmte Ressourcen ansprechen.