Die Schwachstelle steckt im Content-Management-System MetInfo CMS und ermöglicht das Einschleusen von PHP-Code. Ursache ist eine unzureichende Bereinigung von Eingaben im Ausführungspfad: An einer Stelle, die übergebene Daten letztlich als Programmcode verarbeitet, prüft die Anwendung den Inhalt nicht ausreichend. Dadurch kann ein Angreifer aus der Ferne und ohne vorherige Anmeldung eigenen PHP-Code übermitteln, indem er gezielt präparierte Anfragen mit schädlichem Code sendet. Der eingeschleuste Code wird serverseitig ausgeführt, sodass der Angreifer beliebige Befehle auf dem System ausführen und die vollständige Kontrolle über den betroffenen Server erlangen kann. Besonders kritisch ist, dass der Angriff weder gültige Zugangsdaten noch eine Benutzerinteraktion erfordert: Wo das System aus dem Netz erreichbar ist, steht der Angriffsweg unmittelbar offen. Mit der Übernahme des Servers sind sämtliche dort gehosteten Inhalte und Daten gefährdet.