Die Schwachstelle betrifft Rclone, ein Kommandozeilenprogramm zum Synchronisieren von Dateien und Verzeichnissen mit verschiedenen Cloud-Speicheranbietern. Rclone stellt eine Fernsteuerungsschnittstelle (RC) bereit, über die sich das Programm administrativ steuern lässt. Der Endpunkt zum Setzen von Optionen ist jedoch nicht als authentifizierungspflichtig markiert, obwohl er die globale Laufzeitkonfiguration verändern kann – einschließlich der Einstellungen der RC-Schnittstelle selbst. Dadurch kann ein nicht angemeldeter Angreifer die Option deaktivieren, die normalerweise die Authentifizierung erzwingt. Mit diesem Schritt fällt der Schutzmechanismus für zahlreiche weitere RC-Methoden, die eigentlich eine Anmeldung verlangen. Betroffen sind RC-Server, die ohne globale HTTP-Authentifizierung gestartet wurden und über das Netz erreichbar sind. Im Ergebnis erlangt der Angreifer unautorisierten Zugriff auf vertrauliche Verwaltungsfunktionen, darunter Methoden zur Konfiguration und zur Steuerung des laufenden Betriebs.