Sikkerhedshullet findes i vCenter Server 6.0 og 6.5, mens version 5.5 ikke er ramt.
Sårbarheden er af den type, som sikkerhedsforsker Markus Wulftange advarede om før påske. Han har fundet tre sårbarheder i deserialization-koden for objekter af typen Action Message Format version 3 (AMF3).
VCenter anvender programmet BlazeDS til at behandle AMF3-objekter. Det er et af de sårbare programmer, Markus Wulftange har identificeret.
Fejlen ligger i vCenters funktion Customer Experience Improvement Program. Systemet er også sårbart, selvom man ikke bruger funktionen.
Sårbarheden ligger i deserialization-funktionerne, der omdanner en strøm af bytes til et objekt. Flere programmer har tidligere haft sårbarheder i behandlingen af deserialization.
En sikkerhedsforsker har fundet tre sårbarheder i Java-implementeringer af koden, der udfører deserialization på objekter af typen Action Message Format. Det er et format, Adobe anvender i Flash Player.
Blandt de sårbare produkter er Adobe Flex BlazeDS, som Adobe ikke længere vedligeholder. Brugere anbefales at bruge den open source-version, som Apache vedligeholder.