Die Schwachstelle steckt in der API-Schnittstelle der ADC-Produkte von Progress, konkret in der LoadMaster-Appliance, einem Lastverteiler für Netzwerkverkehr. Ursache ist, dass Eingaben im Befehl zum Beenden einer Sitzung („killsession") nicht ausreichend geprüft und bereinigt werden. Dadurch lässt sich ein Betriebssystembefehl einschleusen (OS Command Injection): Ein Angreifer kann eigenen Code direkt auf dem zugrunde liegenden System des Geräts ausführen. Voraussetzung ist, dass der Angreifer bereits angemeldet ist und über die umfassende Berechtigungsstufe „All" verfügt – die Lücke setzt also ein bestehendes, hoch privilegiertes Konto voraus und ist keine reine Außentäter-Schwachstelle ohne Zugangsdaten. Gelingt der Angriff, kann der Täter beliebige Befehle auf der Appliance ausführen und damit die Kontrolle über das Gerät übernehmen. Da die LoadMaster-Appliance zentral den Datenverkehr steuert, betrifft eine Übernahme nicht nur das einzelne System, sondern potenziell den gesamten darüber laufenden Verkehr.