Die Sicherheitslücken lassen sich ausnutzen, um so genannte Cross-Site-Scripting-Angriffe durchzuführen. Eingaben in die Parameter "firstname", "lastname", "website", "aim", "yahoo", "jabber", "about", "pass1" und "pass2" werden nicht ausreichend überprüft, bevor die Applikation diese an den Anwender zurückgibt. Somit könnte sich beliebiger HTML- und Script-Code in der Browsersitzung eines Nutzers ausführen lassen.
Die Schwachstelle ist für Version 3.5.1 bestätigt. Andere Varianten könnten ebenfalls betroffen sein. (jdo)