Die Schwachstelle betrifft Azure DevOps und besteht in der Preisgabe schützenswerter Informationen an einen dazu nicht berechtigten Akteur. Über sie kann ein nicht autorisierter Angreifer aus der Ferne über das Netzwerk an Informationen gelangen, die ihm eigentlich nicht zugänglich sein dürften – ohne dass er dafür gültige Berechtigungen benötigt. Der Defekt liegt also darin, dass die Plattform interne oder vertrauliche Daten nach außen sichtbar macht, statt den Zugriff auf befugte Nutzer zu beschränken. Solche offengelegten Informationen können einem Angreifer als Ausgangspunkt dienen, etwa um weitere Angriffe vorzubereiten oder vertrauliche Inhalte aus der Entwicklungsumgebung abzugreifen. Betroffen sind Anwender, die Azure DevOps für die Verwaltung ihrer Software-Projekte einsetzen.