Die Schwachstelle betrifft Pi-hole FTL, die Kernkomponente von Pi-hole – einem Werbe- und Tracker-Blocker, der auf Netzwerkebene arbeitet. Der Fehler steckt im Subsystem zur Verwaltung der HTTP-Sitzungen und ist eine sogenannte Race Condition: Mehrere parallel ablaufende Vorgänge greifen auf gemeinsame Sitzungsdaten zu, ohne dass deren Reihenfolge zuverlässig abgesichert ist. Je nach zeitlichem Zusammentreffen der Abläufe kann es so zu einem unerwünschten Zustand kommen. Eingeschleppt wurde das Problem mit der Neufassung des eingebetteten Webservers auf Basis von CivetWeb, die im Zuge der grundlegenden Überarbeitung der Software eingeführt wurde. Betroffen ist damit die Weboberfläche, über die Pi-hole verwaltet wird. Eine korrigierte Fassung der Software steht bereit.