Die Schwachstelle betrifft Nginx UI, eine webbasierte Benutzeroberfläche zur Verwaltung des Nginx-Webservers. Über die integrierte MCP-Schnittstelle (Model Context Protocol) werden zwei HTTP-Endpunkte bereitgestellt. Während der eine Endpunkt sowohl eine IP-Freigabeliste als auch eine Authentifizierung verlangt, prüft der zweite Endpunkt für den Nachrichtenaustausch ausschließlich die IP-Freigabeliste – keine Anmeldung. Verschärft wird dies dadurch, dass diese Freigabeliste in der Standardeinstellung leer ist und eine leere Liste von der Software als „alle erlauben" ausgelegt wird. Im Ergebnis kann jeder Angreifer mit Netzwerkzugriff sämtliche MCP-Funktionen ohne Authentifizierung aufrufen. Damit lassen sich Nginx neu starten, Konfigurationsdateien anlegen, ändern und löschen sowie automatische Neuladevorgänge der Konfiguration auslösen. In der Summe erlangt der Angreifer die vollständige Kontrolle über den Nginx-Dienst und damit über die Auslieferung der dahinterliegenden Webinhalte.