Bei dieser Schwachstelle handelt es sich um eine Befehlsinjektion (OS Command Injection) in der API der Progress-ADC-Produkte, die auf der LoadMaster-Appliance betrieben werden. Ursache ist, dass Eingaben im Befehl zum Hinzufügen eines Landes (‘addcountry’) nicht ausreichend bereinigt werden. Dadurch kann ein angemeldeter Angreifer, der über die Berechtigung zur Geo-Administration verfügt, eigene Betriebssystembefehle in diese Eingabe einschleusen und auf der Appliance ausführen. Im Ergebnis lässt sich beliebiger Code auf dem Gerät ausführen, was bis zur Übernahme der Appliance führen kann. Der Angriff setzt voraus, dass der Angreifer bereits authentifiziert ist und das genannte Verwaltungsrecht besitzt; eine anonyme Ausnutzung ohne Anmeldung ist nicht beschrieben. Da LoadMaster als Lastverteiler eine zentrale Rolle im Netzwerk einnimmt, wiegt eine Kompromittierung des Geräts entsprechend schwer.