Die Schwachstelle ist eine LDAP-Injection und betrifft den XKMS-Server von Apache CXF, einem verbreiteten Framework für Webservices. Sie steckt konkret in der LDAP-gestützten Zertifikatsablage (LDAP Certificate repository): Eingaben, mit denen Zertifikate im LDAP-Verzeichnis nachgeschlagen werden, fließen ungeprüft in die LDAP-Abfrage ein. Dadurch kann ein Angreifer die Suchanfrage manipulieren und eigene Filterbestandteile einschleusen. Im Ergebnis lassen sich beliebige Zertifikate aus dem Repository auslesen – also auch solche, die der Angreifer regulär nicht abrufen dürfte. Betroffen sind Installationen, die den XKMS-Dienst von Apache CXF mit einer LDAP-Zertifikatsablage betreiben. Da Zertifikate im XKMS-Umfeld der Schlüsselverwaltung und dem Vertrauensaufbau dienen, untergräbt der unautorisierte Zugriff auf den Zertifikatsbestand die Vertraulichkeit und die Verlässlichkeit dieses Verzeichnisses.