Die Schwachstelle betrifft das SEPPmail Secure Email Gateway, eine Appliance zur Absicherung und Verschlüsselung von E-Mail-Verkehr. Der Defekt sitzt in der neuen GINA-Benutzeroberfläche: Ein dortiger Endpunkt übernimmt eine vom Angreifer kontrollierte Eingabe aus einem Parameter und reicht sie ungeprüft an die eval-Funktion der Programmiersprache Perl weiter. Da eval übergebenen Text als Programmcode ausführt, kann ein Angreifer auf diesem Weg eigenen Code einschleusen und auf dem System ausführen. Besonders schwerwiegend ist, dass der Angriff aus der Ferne und ohne vorherige Anmeldung möglich ist – es werden weder gültige Zugangsdaten noch eine Benutzerinteraktion benötigt. Wo die GINA-Oberfläche erreichbar ist, steht der Angriffsweg unmittelbar offen. Da ein E-Mail-Gateway zentral den gesamten Mailverkehr verarbeitet, kann eine Übernahme des Geräts den Zugriff auf vertrauliche Kommunikation und die darüber laufenden Nachrichten nach sich ziehen.