Die Schwachstelle betrifft Nginx UI, eine webbasierte Benutzeroberfläche zur Verwaltung des Nginx-Webservers. Es handelt sich um eine sogenannte Insecure Direct Object Reference (IDOR): Die Anwendung prüft bei Zugriffen auf Ressourcen nicht, wem diese eigentlich gehören. Die zugrunde liegende Datenstruktur (das Basis-Model) besitzt kein Feld zur Zuordnung eines Eigentümers, und sämtliche Endpunkte fragen Ressourcen allein anhand ihrer Kennung (ID) ab, ohne die Zugehörigkeit zum anfragenden Benutzer zu überprüfen. Dadurch kann jeder bereits angemeldete Benutzer auf Ressourcen anderer Benutzer zugreifen, sie verändern und löschen. In Umgebungen mit mehreren Benutzern führt das zu einer vollständigen Umgehung der Zugriffskontrolle: Die Trennung zwischen den Konten ist faktisch aufgehoben. Eine vorherige Anmeldung ist die einzige Voraussetzung – besondere Rechte sind nicht erforderlich. Zum Zeitpunkt der Veröffentlichung stand kein öffentlich verfügbarer Patch bereit.