Die Schwachstelle steckt in der Komponente zur Sitzungserstellung von AWS Research and Engineering Studio (RES). Dort werden Attribute, die ein Nutzer selbst verändern kann, nicht ausreichend geprüft und bereinigt. Ein angemeldeter Angreifer kann dies aus der Ferne über eine speziell präparierte API-Anfrage ausnutzen: Er manipuliert die kontrollierbaren Werte und verschafft sich dadurch höhere Rechte. Konkret kann er die Berechtigungen übernehmen, die dem Instanzprofil des virtuellen Desktop-Hosts zugewiesen sind, und unter dieser Identität mit AWS-Ressourcen und -Diensten interagieren. Damit überschreitet der Angreifer die ihm eigentlich zugedachten Grenzen und kann auf Cloud-Ressourcen zugreifen, die ihm nicht offenstehen sollten. Voraussetzung ist ein gültiges Konto, eine vorherige unauthentifizierte Hürde besteht also nicht. Betroffen sind Umgebungen, die RES für die Bereitstellung virtueller Desktops in Forschung und Entwicklung einsetzen.