Die Schwachstelle betrifft die Software Kastell und besteht in einer Local File Inclusion, also dem unautorisierten Einbinden lokaler Dateien. Eine solche Lücke entsteht, wenn die Anwendung einen vom Angreifer kontrollierten Eingabewert ungeprüft als Pfad verwendet, um eine Datei einzubinden oder einzulesen. Dadurch lassen sich Dateien auf dem Server erreichen, die eigentlich nicht zugänglich sein sollten. Besonders kritisch ist, dass kein gültiges Benutzerkonto erforderlich ist: Ein nicht angemeldeter Angreifer kann den Fehler ausnutzen. Je nach betroffener Datei kann er so an sensible Inhalte gelangen – etwa Konfigurationsdaten oder Zugangsinformationen – und unter Umständen weitere Angriffe vorbereiten. Da der Angriff ohne Anmeldung erfolgt, steht der Angriffsweg überall dort offen, wo die verwundbare Version von Kastell erreichbar ist.