Die Schwachstelle erlaubt es einem bereits angemeldeten Benutzer, eine schädliche Datei auf den Server hochzuladen und anschließend zur Ausführung zu bringen. Aus diesem Zusammenspiel von ungeprüftem Datei-Upload und nachfolgender Ausführung ergibt sich eine Remote-Code-Ausführung: Der Angreifer kann eigenen Code auf dem Server laufen lassen. Voraussetzung ist ein gültiger, authentifizierter Zugang – die Lücke setzt also vorhandene Zugangsdaten oder eine bestehende Sitzung voraus. Da die hochgeladene Datei serverseitig nicht ausreichend geprüft und ihre Ausführung nicht verhindert wird, kann ein Angreifer auf diesem Weg die Kontrolle über die betroffene Anwendung beziehungsweise den dahinterliegenden Server erlangen.