Die Schwachstelle betrifft VMware Cloud Foundation Operations und besteht aus mehreren Fällen von gespeichertem Cross-Site-Scripting (Stored XSS). Bei dieser Art von Fehler kann ein Angreifer Schadcode – typischerweise Skripte – über reguläre Eingabefelder dauerhaft in der Anwendung hinterlegen; dieser Code wird später im Browser anderer Benutzer ausgeführt, sobald diese die betroffene Ansicht aufrufen. Ausnutzbar ist die Lücke nicht durch beliebige Außenstehende, sondern setzt voraus, dass der Angreifer bereits über bestimmte Berechtigungen verfügt – konkret das Recht, Richtlinien, Ansichten oder Text-Widgets anzulegen. Über diese legitimen Funktionen schleust er die Skripte ein. Wird der manipulierte Inhalt anschließend von einem höher privilegierten Benutzer geöffnet, laufen die Skripte in dessen Sitzung und können in deren Namen administrative Aktionen in VMware Cloud Foundation Operations auslösen. So lässt sich aus eingeschränkten Rechten heraus faktisch weitergehender, administrativer Einfluss auf das System gewinnen.