Die Schwachstelle in TYPO3 lässt sich ausnutzen, um unerlaubten Systemzugriff zu ergaunern. Eingaben in de Parameter "BACK_PATH" in der Datei typo3/sysext/workspaces/Classes/Controller/AbstractController.php wird nicht ausreichend überprüft, bevor diese in Include-Dateien verwendet werden. Somit lassen sich unter Umständen beliebige Dateien aus beliebigen Quellen einbinden.
Ein erfolgreicher Angriff setzt allerdings voraus, dass "register_globals" aktiviert ist. Die Schwachstelle ist als hoch kritisch eingestuft und für Version 4.6.1 bestätigt. Vorgänger-Versionen könnten ebenfalls betroffen sein. Die Entwickler raten zu einem Update auf Version 4.6.2: typo3.org (jdo)