Die Schwachstelle betrifft Jenkins und die Verarbeitung sogenannter Run-Parameter, also Build-Parameter, die auf einen bestimmten Build eines Jobs verweisen. Jenkins prüft bei diesen Parametern nicht, ob die Person, die den Build auslöst, auch tatsächlich Zugriff auf den referenzierten Build hat. Dadurch kann ein Angreifer einen Run-Parameter angeben, der auf einen Build verweist, für den ihm eigentlich die Berechtigung fehlt. Voraussetzung ist, dass er über Rechte zum Auslösen und Konfigurieren von Builds verfügt. Auf diesem Weg lassen sich Informationen abgreifen, die ihm sonst verborgen blieben: ob bestimmte Jobs überhaupt existieren, ob es zu einem Job bestimmte Builds gibt und – falls ein angegebener Build vorhanden ist – dessen Anzeigename. Es handelt sich somit um ein Problem der fehlerhaften Zugriffskontrolle, das die Vertraulichkeit interner Build-Strukturen untergräbt und einem Angreifer erlaubt, ansonsten abgeschottete Informationen über die Build-Umgebung auszukundschaften.