Die Schwachstelle betrifft Apache OFBiz, eine quelloffene Software für die Geschäftsabwicklung und Ressourcenplanung von Unternehmen. Es handelt sich um einen Fehler in der Authentifizierung: Konkret weist die Logik zum Ändern von Passwörtern einen Defekt auf, der sich missbrauchen lässt. Über diese fehlerhafte Passwort-Änderungslogik kann ein Angreifer die Authentifizierung umgehen und in der Folge eigenen Code aus der Ferne auf dem betroffenen System ausführen. Damit reicht die Auswirkung weit über einen reinen Anmeldeumgehungsfehler hinaus: Wer die Lücke ausnutzt, kann beliebige Befehle auf dem Server ausführen und so die Kontrolle über die Anwendung und potenziell das darunterliegende System erlangen. Betroffen sind Installationen von Apache OFBiz, die noch nicht auf die fehlerbereinigte Fassung aktualisiert wurden.