Die Schwachstelle betrifft Microsoft Dynamics 365 in der selbst betriebenen Variante (on-premises) und beruht auf einer unzureichenden Kontrolle darüber, wie aus Eingaben Programmcode erzeugt wird – einer sogenannten Code-Injection. Dadurch kann ein Angreifer eigenen Code in die Anwendung einschleusen, der anschließend vom System ausgeführt wird. Der Angriff lässt sich über das Netzwerk durchführen, setzt allerdings voraus, dass der Angreifer bereits über gültige Zugangsdaten und eine Berechtigung im System verfügt – es handelt sich also um einen authentifizierten Angreifer und nicht um einen völlig anonymen Zugriff von außen. Gelingt die Ausnutzung, führt das betroffene System fremden Code aus, womit der Angreifer seine ursprünglichen Rechte überschreiten und Aktionen auf der Anwendung ausführen kann, die ihm eigentlich nicht zustehen. Betroffen sind ausschließlich lokal installierte Dynamics-365-Umgebungen.