Die Schwachstelle steckt in der Autovervollständigung des SQL-Abfrage-Editors von Appsmith. Beim Anzeigen von Namen aus der angebundenen Datenbank – etwa Tabellen- oder Spaltennamen – fügt der Editor diese Bezeichnungen ungeprüft in den HTML-Inhalt der Oberfläche ein, ohne sie zuvor zu bereinigen. Dadurch lässt sich schädlicher Skriptcode in solche Datenbank-Objektnamen einschleusen. Ein angemeldeter Benutzer mit Entwicklerrechten kann auf diese Weise eine dauerhafte (persistente) Cross-Site-Scripting-Lücke ausnutzen: Der eingebettete Code bleibt gespeichert und wird später automatisch ausgeführt, sobald andere Mitglieder desselben Arbeitsbereichs dieselbe Datenquelle öffnen und mit ihr arbeiten. Der Schadcode läuft dann im Sitzungskontext dieser Opfer, sodass der Angreifer in deren Namen beliebigen Code im Browser ausführen kann. Betroffen sind alle Mitglieder eines Arbeitsbereichs, die auf eine vom Angreifer präparierte Datenquelle zugreifen.