Die Schwachstelle betrifft die Rechenzentrums-Verwaltungssoftware openDCIM, konkret die Funktion zum Aktualisieren von Konfigurationsparametern. An dieser Stelle übernehmen die zuständigen Installations- bzw. Einrichtungsroutinen vom Nutzer gelieferte Eingaben direkt in SQL-Anweisungen – per Zeichenketten-Verkettung, ohne vorbereitete Anweisungen (Prepared Statements) und ohne ausreichende Bereinigung der Eingaben. Dadurch entsteht eine SQL-Injektion: Ein angemeldeter Nutzer kann eigene SQL-Befehle in die Datenbankabfragen einschleusen und beliebige Anweisungen gegen die zugrunde liegende Datenbank ausführen. Der Angriff setzt also einen gültigen Zugang voraus, erlaubt dann aber den direkten, unkontrollierten Zugriff auf die Datenbank. Damit lassen sich gespeicherte Daten auslesen, verändern oder löschen – einschließlich der von openDCIM verwalteten Inventar- und Konfigurationsinformationen des Rechenzentrums.