Die Schwachstelle betrifft AVideo, eine Software für den Betrieb einer Video-Sharing-Plattform. Der Defekt sitzt in der Verarbeitung des GET-Parameters base64Url: Dessen Inhalt wird nicht ausreichend abgesichert, sodass ein Angreifer eine sogenannte Befehlssubstitution der Shell einschleusen kann. Dadurch werden vom Angreifer übergebene Zeichenketten serverseitig als Betriebssystembefehle interpretiert und ausgeführt. Ausnutzen lässt sich dies aus der Ferne und ohne vorherige Anmeldung: Ein unauthentifizierter Angreifer kann auf dem Server beliebige Betriebssystembefehle ausführen. Die Folgen reichen bis zur vollständigen Übernahme des Servers. Damit kann ein Angreifer interne Geheimnisse wie Konfigurationsdaten, interne Schlüssel und Zugangsdaten auslesen und abfließen lassen sowie den Dienst stören oder lahmlegen. Besonders kritisch ist, dass der Angriff über einen einfachen Web-Parameter erfolgt und keinerlei Zugangsdaten erfordert – jeder, der die Anwendung über das Netz erreicht, kann den Angriffsweg nutzen.