Die Schwachstelle betrifft FreeScout, ein in PHP mit dem Laravel-Framework entwickeltes, quelloffenes Helpdesk- und Sammelpostfach-System. Sie umgeht eine frühere Korrektur und erlaubt jedem angemeldeten Benutzer, der über die Berechtigung zum Hochladen von Dateien verfügt, beliebigen Code auf dem Server auszuführen. Der Angreifer lädt dazu eine manipulierte Konfigurationsdatei für den Webserver (.htaccess) hoch und stellt ihrem Namen ein unsichtbares Zeichen mit der Breite null voran, um die Sicherheitsprüfung auszuhebeln. Ursache ist ein Fehler in der Funktion zur Bereinigung hochgeladener Dateinamen: Sie prüft auf einen führenden Punkt, bevor die Bereinigung die unsichtbaren Zeichen entfernt. Dieser zeitliche Versatz zwischen Prüfung und Verwendung (Time-of-Check to Time-of-Use) führt dazu, dass die als gefährlich erkannte Datei trotzdem mit ihrem eigentlichen Namen abgelegt wird. So gelangt schädlicher Code auf den Server und kann ausgeführt werden – mit entsprechender Kontrolle über das System.