Die Schwachstelle betrifft FreePBX, eine quelloffene IP-Telefonanlage. Sie steckt im sogenannten User Control Panel (UCP), dem Bedienbereich für Endnutzer. Für die generischen Vorlagen des UCP werden bei der Ersteinrichtung fest hinterlegte Anfangs-Zugangsdaten verwendet. Die eigentliche Einrichtung dieser Vorlagen erfordert zwar einen angemeldeten Zugriff über den administrativen Bereich; doch sobald ein Administrator das UCP aktiviert hat und die voreingestellten Zugangsdaten nicht unmittelbar ändert, bleiben diese fest einprogrammierten Werte aktiv. Dadurch können unauthentifizierte Nutzer ohne weiteres Zutun des Administrators auf das User Control Panel zugreifen. Ein Angreifer benötigt also weder gültige eigene Anmeldedaten noch eine vorherige Berechtigung, sondern nutzt die bekannten, mitgelieferten Vorlage-Zugangsdaten, um sich Zugang zum Bedienbereich der Telefonanlage zu verschaffen. Betroffen sind Installationen, bei denen das UCP eingerichtet, die Anfangs-Zugangsdaten aber nie geändert wurden.