Die Schwachstelle betrifft PhpSpreadsheet, eine in reinem PHP geschriebene Bibliothek zum Lesen und Schreiben von Tabellendateien. Eine frühere Sicherheitslücke war durch eine Schutzfunktion behoben worden, die Stream-Wrapper wie phar://, php://, data:// oder expect:// in Dateipfaden erkennen und ablehnen soll. Diese Prüfung ist jedoch unvollständig: Sie zerlegt den Pfad und wertet das Ergebnis aus, das jedoch bei einer Eingabe der Form phar:///… mit drei oder mehr Schrägstrichen nach dem Schema keinen Schemanamen, sondern einen Fehlwert zurückliefert. Die Prüfung wird dadurch übersprungen, und der Aufruf läuft weiter, während PHPs Stream-Ebene den Pfad weiterhin als gültigen phar-Wrapper behandelt und die zugrunde liegende phar-Datei öffnet. Lädt eine Anwendung einen vom Angreifer kontrollierten Pfad, wird der Schutz so umgangen. Unter PHP 7.x genügt das Berühren des phar-Wrappers, damit PHP die Metadaten automatisch deserialisiert und so über manipulierte Objekte beliebigen Code ausführt. Unter PHP 8.x bleibt zunächst ein Lesezugriff auf phar-Dateien; zur Codeausführung kommt es erst, wenn nachgelagerter Code die phar-Metadaten ausliest.