Die Schwachstelle betrifft Adobe ColdFusion, eine Plattform zur Entwicklung und zum Betrieb von Webanwendungen. Ursache ist eine unzureichende Prüfung von Eingabedaten (Improper Input Validation): Die Software kontrolliert übergebene Eingaben nicht streng genug, bevor sie verarbeitet werden. Dadurch kann ein Angreifer die Verarbeitung so manipulieren, dass beliebiger Code im Kontext des aktuell ausführenden Benutzers ausgeführt wird – also mit den Rechten desjenigen Kontos, unter dem ColdFusion läuft. Ein Ausnutzen erfordert keine Benutzerinteraktion: Es ist kein Zutun eines Opfers nötig, etwa das Öffnen einer Datei oder das Anklicken eines Links. Da ColdFusion-Anwendungen typischerweise als serverseitige Dienste betrieben und häufig über das Web erreichbar sind, eröffnet die Möglichkeit zur Codeausführung einen Weg, die betroffene Installation zu kompromittieren und unter Umständen den darauf laufenden Anwendungsbetrieb zu übernehmen.