Die Schwachstelle betrifft Apache Flink, eine Plattform zur verteilten Verarbeitung von Datenströmen. Der Fehler steckt in der Erzeugung von SQL-Code: Wenn Flink aus einer SQL-Abfrage internen Java-Code generiert, werden vom Benutzer kontrollierte Zeichenketten ohne ausreichende Maskierung direkt in diesen Code eingefügt. Dadurch kann ein Angreifer aus einer Zeichenkette ausbrechen und eigene Ausdrücke einschleusen – es handelt sich also um eine Code-Injektion. Betroffen sind insbesondere die Verarbeitung von JSON-Funktionen sowie LIKE-Ausdrücke mit ESCAPE-Klauseln. Ausnutzen lässt sich die Lücke von angemeldeten Nutzern, die berechtigt sind, Abfragen einzureichen: Über eine bösartig präparierte SQL-Abfrage können sie beliebigen Code auf den TaskManagern ausführen, also auf den Knoten, die die eigentliche Datenverarbeitung übernehmen. Damit erlangt der Angreifer die Möglichkeit, fremden Code auf der Verarbeitungsinfrastruktur auszuführen.