Die Schwachstelle steckt im Konfigurationsgenerator von NGINX Gateway Fabric – jener Komponente, die aus den Vorgaben des Nutzers automatisch die eigentliche NGINX-Konfiguration erzeugt. Betroffen ist der Aufbau, bei dem NGINX Plus oder das quelloffene NGINX als Datenebene für NGINX Gateway Fabric dient. Über eine bestimmte Einstellung des NginxProxy-Custom-Resource-Definition (CRD), nämlich das Format des Zugriffsprotokolls (Access Log), gelangen vom Nutzer gelieferte Zeichenketten ungefiltert und ohne Maskierung direkt in die Konfigurationsvorlagen. Ein angemeldeter Angreifer, der die Berechtigung besitzt, solche CRDs anzulegen oder zu verändern, kann dadurch eigene, beliebige NGINX-Konfigurationsanweisungen einschleusen. Es handelt sich um eine Schwäche auf der Steuerungsebene (Control Plane); allein durch das Auslösen der Lücke entsteht keine unmittelbare Gefährdung der Datenebene. Praktisch relevant ist die Schwachstelle damit vor allem in Umgebungen, in denen mehrere Personen Schreibrechte auf diese Konfigurationsobjekte besitzen.