Über mehrere Fehler im Netzwerkstatistik-Programm Cacti können Angreifer Code einschleusen: Das Cacti-Skript cmd.php überprüft nur mangelhaft die Eingaben, die es per URL-Aufruf erhält und anschließend für SQL-Abfragen nutzt. Außerdem schränkt es den Zugriff auf die Kommando-Zeile nicht ausreichend ein, sodass über diese Lücke Code eingeschleust werden kann. Um die Lücken ausnutzen zu können, muss die PHP-Konfigurationsvariable register_argc_argv auf dem betroffenen System gesetzt sein.