Die Schwachstelle steckt im Automatisierungsserver Jenkins, genauer in der Verarbeitung von Archivdateien im .tar- und .tar.gz-Format. Beim Entpacken solcher Archive behandelt Jenkins symbolische Verknüpfungen (Symlinks) nicht sicher. Dadurch kann ein präpariertes Archiv beim Auspacken Dateien an beliebige Stellen im Dateisystem schreiben – die einzige Grenze bilden die Zugriffsrechte des Benutzerkontos, unter dem Jenkins läuft. Über dieses unkontrollierte Schreiben außerhalb des vorgesehenen Zielverzeichnisses lassen sich vorhandene Dateien überschreiben oder neue an sensiblen Orten ablegen. Ausnutzen können das zwei Angreifergruppen: Nutzer, die auf dem Controller die Berechtigung zum Konfigurieren von Aufträgen besitzen, sowie Angreifer, die einen Agent-Prozess kontrollieren. Auf diesem Weg lassen sich schädliche Skripte oder Plugins auf den Controller einschleusen und ausführen, was die Übernahme der zentralen Build-Steuerung und der darüber verwalteten Prozesse ermöglicht.