Die Schwachstelle betrifft die Automatisierungssoftware Jenkins, die in der Softwareentwicklung zum Bauen und Ausliefern von Projekten eingesetzt wird. Konkret geht es um die Funktion, mit der ein Agent – also ein an Jenkins angebundener Build-Knoten – vorübergehend offline genommen werden kann. Beim Offline-Schalten lässt sich eine frei wählbare Begründung als Beschreibungstext hinterlegen. Dieser vom Benutzer eingegebene Text wird von Jenkins nicht ordnungsgemäß maskiert, bevor er in der Oberfläche dargestellt wird. Dadurch entsteht eine gespeicherte Cross-Site-Scripting-Schwachstelle (stored XSS): Ein Angreifer kann eingeschleusten Schriftcode dauerhaft hinterlegen, der anschließend im Browser anderer Benutzer ausgeführt wird, sobald diese die betroffene Ansicht aufrufen. Ausnutzbar ist dies allerdings nur durch Nutzer, die bereits über die Berechtigung verfügen, Agenten zu konfigurieren oder zu trennen. Über das eingeschleuste Skript lassen sich Aktionen im Kontext des angemeldeten Opfers durchführen.