Die Schwachstelle betrifft AWS Research and Engineering Studio (RES), eine Plattform zur Bereitstellung virtueller Desktops für Forschungs- und Entwicklungsumgebungen. Der Defekt sitzt in der Verarbeitung des Sitzungsnamens eines virtuellen Desktops: Die eingegebene Bezeichnung wird ungeprüft in einen Betriebssystembefehl übernommen. Dadurch lässt sich über einen präparierten Sitzungsnamen eigener Code einschleusen – eine klassische Befehlsinjektion. Ausnutzen kann den Fehler ein aus der Ferne agierender, aber bereits angemeldeter Akteur; ein gültiges Konto ist also Voraussetzung, eine besondere Berechtigung darüber hinaus jedoch nicht zwingend. Gelingt der Angriff, werden die eingeschleusten Befehle mit Root-Rechten auf dem Host des virtuellen Desktops ausgeführt – also mit den höchsten Systemrechten und damit voller Kontrolle über diesen Rechner. Betroffen sind Umgebungen, in denen RES virtuelle Desktops betreibt und angemeldete Nutzer Sitzungsnamen festlegen können.