Die Schwachstelle betrifft Ormar, ein asynchrones Mini-ORM für Python, das den Datenbankzugriff für Anwendungen vereinfacht. Der Fehler liegt darin, wie Ormar bei Aggregatabfragen SQL-Ausdrücke zusammenbaut: Vom Benutzer übergebene Spaltennamen werden direkt und ohne jede Prüfung oder Bereinigung in einen rohen SQL-Textbaustein eingesetzt. Besonders die Methoden zur Ermittlung des kleinsten und des größten Werts nehmen beliebige Zeichenketten als Spaltenparameter entgegen und überspringen dabei die Typprüfung, die verwandte Aggregatfunktionen zumindest teilweise absichert. Dadurch landet eine vom Angreifer kontrollierte Zeichenkette als unmittelbarer SQL-Code innerhalb des Funktionsaufrufs. Ein nicht berechtigter Nutzer kann auf diesem Weg eine eingebettete Unterabfrage einschleusen – eine klassische SQL-Injection – und so den gesamten Datenbankinhalt auslesen, einschließlich Tabellen, die mit dem eigentlich abgefragten Datenmodell nichts zu tun haben. Betroffen sind Anwendungen, die diese Aggregatfunktionen mit nicht vertrauenswürdiger Eingabe aufrufen.