Die Schwachstelle steckt in der eingebauten Formel- und Skripting-Engine des quelloffenen CRM-Systems EspoCRM. Über diese Engine lässt sich der Quell-Verweis (sourceId) von Datei-Anhängen verändern. Ein angemeldeter Benutzer mit Administratorrechten kann dieses Feld an einem Anhang-Datensatz überschreiben und mit einem beliebigen Wert belegen. Das eigentliche Problem: Der so gesetzte Wert wird ungeprüft und ohne jede Bereinigung direkt in einen Dateipfad eingesetzt, mit dem das System die zugehörige Datei liest oder schreibt. Dadurch kann ein Angreifer die Lese- und Schreibvorgänge auf einen frei wählbaren Pfad umlenken – und zwar auf jeden Ort, den der Webserver innerhalb seines erlaubten Zugriffsbereichs erreichen kann. So lassen sich Dateien außerhalb des vorgesehenen Upload-Verzeichnisses auslesen oder mit eigenem Inhalt überschreiben. Betroffen sind Installationen, in denen Angreifer über ein administratives Konto verfügen oder ein solches übernehmen können.