Die Schwachstelle betrifft FreeScout, ein in PHP (Laravel-Framework) entwickeltes Helpdesk- und Shared-Inbox-System. Ursache ist eine unvollständige Sperrliste für Datei-Uploads: Die Liste, die festlegt, welche Dateitypen nicht hochgeladen werden dürfen, berücksichtigt bestimmte Konfigurationsdateien des Webservers nicht – konkret .htaccess- und .user.ini-Dateien. Läuft FreeScout auf einem Apache-Webserver, der das Überschreiben von Einstellungen per Verzeichniskonfiguration zulässt (eine verbreitete Konfiguration), kann ein bereits angemeldeter Nutzer eine eigene .htaccess-Datei hochladen. Damit verändert er, wie der Server hochgeladene Dateien verarbeitet, und kann auf diesem Weg eigenen Code zur Ausführung bringen – also Remote Code Execution erreichen. Voraussetzung ist ein gültiges Benutzerkonto; die Lücke lässt sich eigenständig ausnutzen oder mit einer weiteren Schwachstelle kombinieren. Betroffen sind Apache-Installationen mit der genannten Überschreib-Berechtigung, da der Angreifer dort die Dateiverarbeitung des Servers umdefinieren kann.