Die Schwachstelle betrifft Nifty und ist eine sogenannte PHP Object Injection. Dabei verarbeitet die Anwendung von außen hereingereichte, serialisierte Daten und wandelt sie ungeprüft in PHP-Objekte zurück. Ein Angreifer kann diesen Vorgang missbrauchen, um manipulierte Objekte einzuschleusen, deren Inhalt beim Deserialisieren von der Anwendung weiterverarbeitet wird – je nach vorhandenem Code kann das bis zur Ausführung eigener Befehle oder zur Manipulation von Programmabläufen führen. Besonders kritisch ist, dass der Angriff ohne vorherige Anmeldung möglich ist: Es werden keine gültigen Zugangsdaten und keine Benutzerinteraktion benötigt, sodass der Angriffsweg jedem offensteht, der die verwundbare Komponente über das Netzwerk erreicht.