Die Schwachstelle steckt im SEPPmail Secure Email Gateway, einem System zur Absicherung des E-Mail-Verkehrs. Der Fehler liegt darin, dass die Software nicht vertrauenswürdige Daten unsicher deserialisiert – also serialisierte Objekte verarbeitet und in interne Datenstrukturen zurückwandelt, ohne sie ausreichend zu prüfen. Erreichbar ist dieser Verarbeitungspfad über die neue GINA-Benutzeroberfläche. Ein Angreifer kann ein speziell präpariertes serialisiertes Objekt einschleusen und so beim Zurückwandeln eigenen Programmcode zur Ausführung bringen. Der Angriff gelingt aus der Ferne und ohne vorherige Anmeldung, sodass kein gültiges Benutzerkonto und keine Zugangsdaten erforderlich sind. Da das Gateway den E-Mail-Verkehr verarbeitet und in der Regel aus dem Netz erreichbar ist, ist die GINA-Oberfläche ein besonders exponierter Angriffspunkt; eine erfolgreiche Ausnutzung kann dem Angreifer die Kontrolle über das betroffene System verschaffen.