Die Schwachstelle steckt im ConnectWise Automate Agent, der Verwaltungssoftware, die auf den überwachten Endgeräten installiert wird. Der Agent prüft die Echtheit von Komponenten nicht vollständig, die er beim Laden von Plug-ins und bei seinen eigenen Selbstaktualisierungen bezieht. Mit anderen Worten: Bevor der Agent zusätzlichen Code in Form eines Plug-ins nachlädt oder sich selbst auf einen neueren Stand bringt, stellt er nicht zuverlässig sicher, dass die bezogenen Bestandteile tatsächlich vom legitimen Hersteller stammen und unverändert sind. Gelingt es einem Angreifer, sich an dieser Stelle einzuklinken und untergeschobene Komponenten als echt erscheinen zu lassen, kann er manipulierten Code in den Agenten einschleusen, der dann auf dem betroffenen System ausgeführt wird. Da der Agent zur Fernverwaltung dient und üblicherweise mit weitreichenden Rechten läuft, kann eine solche Manipulation dem Angreifer Kontrolle über das verwaltete Gerät verschaffen.