Die Schwachstelle betrifft die Gebäudeautomations-Steuerungen Tracer SC, Tracer SC+ und Tracer Concierge von Trane. Ihr liegt die Verwendung fest einprogrammierter, sicherheitsrelevanter Konstanten zugrunde – also unveränderlich im Code hinterlegte Werte (etwa Schlüssel oder Zugangsgeheimnisse), die für alle Geräte gleich sind und vom Betreiber nicht angepasst werden können. Da diese Werte bekannt oder rekonstruierbar sind, kann ein Angreifer sie ausnutzen, um vertrauliche Informationen auszulesen und sich Zugang zu Benutzerkonten zu verschaffen. Im Ergebnis lässt sich die Identität legitimer Nutzer übernehmen und damit die Kontrolle über das jeweilige Konto erlangen. Betroffen ist die Gebäudeleittechnik, die solche Tracer-Steuerungen für die Verwaltung und Überwachung technischer Anlagen einsetzt; eine Kontoübernahme kann dort weitreichenden Zugriff auf die gesteuerten Funktionen eröffnen.