Die Schwachstelle steckt in der Programmdatei upload.cgi, die für die Verarbeitung von Gerätesicherungen (Backups) zuständig ist. In dieser Datei ist ein AES-Verschlüsselungsschlüssel fest einprogrammiert (hartkodiert), also bei jedem Gerät identisch und nicht geheim. Da der Schlüssel damit allen Angreifern bekannt ist, lässt sich der Schutz der verschlüsselten Sicherungen aushebeln: Ein Angreifer kann ein Backup entschlüsseln, dessen Inhalt nach Belieben verändern und es anschließend wieder korrekt verschlüsseln, sodass es vom Gerät als gültig akzeptiert wird. Auf diesem Weg kann er manipulierte Daten in eine Sicherung einschleusen und so dauerhaft eine Hintertür im System verankern. Spielt das Gerät ein solches präpariertes Backup ein, erhält der Angreifer einen bleibenden, unbemerkten Zugang, der auch Neustarts oder Wiederherstellungen übersteht.