Die Schwachstelle betrifft die SMA1000-Appliances von SonicWall, also dedizierte Geräte für den gesicherten Fernzugriff auf Unternehmensnetze. Der Fehler liegt in der unzureichenden Bereinigung von Sonderzeichen in einem SQL-Befehl: Eingaben, die der Angreifer übergibt, werden nicht ausreichend gefiltert und fließen direkt in eine Datenbankabfrage ein. Dadurch lässt sich eine sogenannte SQL-Injektion ausführen, bei der eigene Datenbankbefehle eingeschleust werden. Ausnutzen kann dies ein aus der Ferne agierender Angreifer, der bereits angemeldet ist und über ein Administratorkonto mit ausschließlich lesenden Rechten verfügt. Über die Lücke hebt er seine Berechtigungen an und gelangt zu den Rechten des primären Administrators – also der höchsten Verwaltungsebene des Geräts. Aus einem eingeschränkten Konto wird so die vollständige administrative Kontrolle über die Appliance, mit der sich der gesicherte Fernzugriff samt zugehöriger Konfiguration manipulieren lässt.