Die Schwachstelle steckt in der Software Ivanti Xtraction und beruht auf der externen Kontrolle eines Dateinamens: Ein Angreifer kann beeinflussen, welche Datei das Programm verarbeitet, ohne dass diese Vorgabe ausreichend geprüft oder eingeschränkt wird. Ausnutzbar ist der Fehler aus der Ferne, allerdings muss der Angreifer angemeldet sein, also über gültige Zugangsdaten verfügen. Über die manipulierte Dateinamen-Vorgabe kann er einerseits schützenswerte Dateien auslesen, auf die er eigentlich keinen Zugriff haben sollte, und andererseits beliebige HTML-Dateien in ein Web-Verzeichnis schreiben. Aus dem Lesezugriff folgt ein Abfluss vertraulicher Informationen. Die eingeschleusten HTML-Dateien wiederum lassen sich nutzen, um Angriffe gegen andere Benutzer im Browser vorzubereiten, etwa indem ihnen manipulierte Inhalte über die Anwendung ausgeliefert werden. Damit verbindet die Lücke unbefugtes Lesen mit dem Platzieren angreifergesteuerter Webinhalte.