Die Schwachstelle betrifft MajorDoMo (Major Domestic Module), eine Software zur Hausautomatisierung. Sie erlaubt das Einschleusen von Betriebssystembefehlen aus der Ferne und ohne Anmeldung. Ursache ist die Verarbeitung einer Benutzereingabe über den Endpunkt rc/index.php: Der übergebene Parameter wird ohne jede Bereinigung in eine Befehlszeichenkette innerhalb doppelter Anführungszeichen eingefügt – die übliche Absicherung gegen Sonderzeichen unterbleibt. Der so zusammengesetzte Befehl landet über eine Hilfsfunktion in einer Datenbank-Warteschlange, ebenfalls ungeprüft. Ein web-erreichbares Skript (cycle_execs.php), das keine Authentifizierung verlangt, holt die eingereihten Befehle ab und reicht sie direkt an die Ausführungsfunktion des Systems weiter. Den eigentlichen Angriff ermöglicht eine Wettlaufsituation: Der Angreifer startet zunächst das verarbeitende Skript, das die Warteschlange leert und in eine Abfrageschleife geht, und schiebt dann über den rc-Endpunkt einen bösartigen Befehl nach. Die enthaltenen Shell-Metazeichen werden ausgewertet, sodass beliebiger Code auf dem System ausgeführt wird – nahezu unmittelbar.