Die Schwachstelle steckt in ingress-nginx, dem auf nginx basierenden Ingress-Controller für Kubernetes, der den eingehenden Netzwerkverkehr auf die Dienste eines Clusters verteilt. Der Defekt entsteht dadurch, dass sich bestimmte Ingress-Annotationen in Kombination missbrauchen lassen, um eigene Konfigurationsanweisungen in die nginx-Konfiguration einzuschleusen. Über diese eingeschleuste Konfiguration kann ein Angreifer beliebigen Code im Kontext des ingress-nginx-Controllers ausführen. Damit erlangt er nicht nur die Kontrolle über den Controller selbst, sondern kann auch die Secrets auslesen, auf die der Controller Zugriff hat – also etwa Zugangsdaten, Schlüssel und Zertifikate. Besonders schwer wiegt dies, weil der Controller in der Standardinstallation auf sämtliche Secrets im gesamten Cluster zugreifen darf. Ein erfolgreicher Angriff kann somit weit über den einzelnen Controller hinaus zur Offenlegung clusterweiter Geheimnisse und damit potenziell zur Kompromittierung des gesamten Clusters führen.