Die Schwachstelle steckt in der API der Progress-ADC-Produkte und betrifft die LoadMaster-Appliance, einen Lastverteiler für Netzwerk- und Anwendungsverkehr. Ursache ist eine unzureichende Bereinigung von Eingaben im Kommando ‘aclcontrol’: Übergebene Werte werden ungeprüft übernommen und gelangen in einen Betriebssystembefehl. Dadurch lässt sich eine Befehlsinjektion auslösen, über die ein Angreifer eigene Betriebssystembefehle auf dem Gerät ausführen und so aus der Ferne fremden Code einschleusen kann. Voraussetzung ist allerdings ein bereits angemeldeter Zugang mit der Berechtigung zur Verwaltung virtueller Dienste (‘VS Administration’). Wer über diese Rechte verfügt, kann die Lücke nutzen, um seine Möglichkeiten weit über die vorgesehene Konfigurationsoberfläche hinaus auszudehnen und die Kontrolle über die Appliance selbst zu erlangen. Da LoadMaster zentral im Datenstrom zwischen Clients und Servern sitzt, betrifft eine Übernahme nicht nur das Gerät, sondern den darüber laufenden Verkehr.