Die Schwachstelle betrifft Nginx UI, eine webbasierte Verwaltungsoberfläche für den Nginx-Webserver. Der Fehler steckt im Endpunkt für die Datensicherung: Dieser ist ohne jede Anmeldung erreichbar und gibt zudem in einem Antwort-Header die Schlüssel preis, die zum Entschlüsseln der Sicherung benötigt werden. Dadurch kann ein Angreifer aus der Ferne und ohne gültige Zugangsdaten eine vollständige Systemsicherung herunterladen und sie unmittelbar entschlüsseln. In dieser Sicherung stecken hochsensible Daten – darunter Benutzeranmeldedaten, Sitzungs-Tokens, private SSL-Schlüssel sowie die Nginx-Konfigurationen. Mit diesen Informationen kann ein Angreifer sich als legitimer Nutzer ausgeben, verschlüsselte Verbindungen aufbrechen und sich weitergehenden Zugriff auf das System verschaffen. Besonders kritisch ist die Kombination aus fehlender Authentifizierung und der gleichzeitigen Offenlegung der Entschlüsselungsschlüssel: Beides zusammen macht die geschützten Sicherungsdaten praktisch wirkungslos.