Die Schwachstelle betrifft Rclone, ein Kommandozeilenprogramm zum Synchronisieren von Dateien und Verzeichnissen mit verschiedenen Cloud-Speicheranbietern. Konkret steckt der Defekt in der Remote-Control-Schnittstelle (RC): Der Endpunkt operations/fsinfo ist erreichbar, ohne dass eine Authentifizierung verlangt wird, und verarbeitet vom Angreifer kontrollierte fs-Eingaben. Da die zugrunde liegende Funktion auch direkt im Aufruf definierte Backends akzeptiert, kann ein nicht angemeldeter Angreifer auf Zuruf ein eigenes, von ihm bestimmtes Backend instanziieren. Beim WebDAV-Backend wird während der Initialisierung der über bearer_token_command hinterlegte Befehl ausgeführt. Dadurch lässt sich mit einer einzigen unauthentifizierten Anfrage ein beliebiger lokaler Befehl auf dem System ausführen. Betroffen sind erreichbare RC-Installationen, bei denen keine globale HTTP-Authentifizierung aktiviert ist – der Angriff erfordert weder Zugangsdaten noch mehrere Schritte.