Die Schwachstelle ist eine Cross-Site-Scripting-Lücke (XSS) in der Laufzeitumgebung und im Compiler von Angular, einer Entwicklungsplattform zum Erstellen von Web-Anwendungen für Mobilgeräte und Desktops auf Basis von TypeScript bzw. JavaScript. Sie tritt auf, wenn eine Anwendung ein sicherheitsrelevantes Attribut – etwa das href-Attribut eines Anker-Elements – zusammen mit Angulars Funktion zur Internationalisierung von Attributen verwendet. Wird die Internationalisierung für ein solches sensibles Attribut aktiviert, indem ein i18n-Attributname hinzugefügt wird, umgeht dies den eingebauten Bereinigungsmechanismus (Sanitization) von Angular. In Kombination mit einer Datenbindung an nicht vertrauenswürdige, von Nutzern stammende Inhalte kann ein Angreifer auf diesem Weg ein schädliches Skript einschleusen. Betroffen sind Anwendungen, die diese Kombination aus internationalisiertem sicherheitsrelevantem Attribut und Bindung an ungeprüfte Eingaben einsetzen; der sonst greifende Schutz vor gefährlichen Attributwerten wird dabei wirkungslos.