Die Schwachstelle steckt im API-Plugin des Content-Management-Systems Bludit CMS. Der für das Hochladen von Dateien zuständige Endpunkt der Plugin-Schnittstelle führt zwei entscheidende Prüfungen nicht durch: Er kontrolliert weder, ob der Aufrufer überhaupt zu dieser Aktion berechtigt ist, noch prüft er die Dateiendung der hochgeladenen Datei. Dadurch kann ein Angreifer, der über ein gültiges API-Token verfügt, eine bösartige PHP-Datei auf den Server hochladen und anschließend aufrufen. Beim Aufruf wird das eingeschleuste Skript vom Server ausgeführt, sodass der Angreifer aus der Ferne beliebigen Code auf dem System ausführen kann (Remote Code Execution). Damit lässt sich die Webanwendung kompromittieren und im weiteren Verlauf der zugrunde liegende Server übernehmen. Betroffen sind Installationen, bei denen die API-Funktion aktiv ist und ein API-Token in die Hände eines Angreifers gelangt.