Die Schwachstelle steckt in der Benutzer-Weboberfläche von SeppMail, konkret in der Funktion zum Übertragen großer Dateien (Large File Transfer, LFT). Beim Hochladen prüft die Anwendung den angegebenen Dateipfad nicht ausreichend. Ein Angreifer kann dadurch eine Pfadüberschreitung (Path Traversal) ausnutzen und eine hochgeladene Datei außerhalb des vorgesehenen Verzeichnisses an einem von ihm gewählten Ort im Dateisystem ablegen. Auf diesem Weg lässt sich eine Datei mit beliebigem Inhalt schreiben, die anschließend vom Server ausgeführt wird – das Schreiben der Datei mündet so in die Ausführung von beliebigem Code (Remote Code Execution) auf dem System. Damit kann der Angreifer eigene Befehle auf dem betroffenen Server ausführen und ihn übernehmen. Da die Funktion über die Weboberfläche erreichbar ist, ist sie ein direkt zugänglicher Angriffspunkt.