Die Schwachstelle betrifft das Produkt Taskbuilder und besteht in einer SQL-Injection. Ausnutzbar ist sie durch einen angemeldeten Benutzer mit Abonnenten-Rechten (Subscriber) – also der niedrigsten regulären Berechtigungsstufe, die jedem registrierten Konto offensteht. Über die Lücke lassen sich manipulierte Eingaben so in eine Datenbankabfrage einschleusen, dass die Anwendung sie als Teil des SQL-Befehls ausführt, statt sie nur als harmlose Daten zu behandeln. Dadurch kann der Angreifer Datenbankabfragen verändern und auf Inhalte zugreifen oder sie verändern, die ihm eigentlich nicht zugänglich sein sollten. Da bereits ein einfaches Abonnenten-Konto genügt, ist die Hürde für einen Angriff niedrig.