آسیب پذیری مورد استفاده برای آلوده کردن سرورهای ESXi که با نام CVE-221-21974 ثبت شده است، ناشی از سرریز بافر مبتنی بر هیپ در سرویس OpenSLP است. در همین راستا، حتی در تاریخ 8 دسامبر 2022 (17 دسامبر 1401) خبری مبنی بر یک باگ امنیتی منتشر شد که در مورد فعال شدن سرویس OpenSLP هشدار می داد.
در فوریه 2021 (بهان 1400)، زمانی که VMware وصله امنیتی این آسیبپذیری را منتشر کرد، همچنان هشدار داد که هکرها ممکن است بتوانند حملات خود را از طریق یک عامل مخرب که از طریق پورت 427 به همان بخش شبکه دسترسی دارد، انجام دهند. این آسیبپذیری یک سطح هشدار شدید دریافت کرد. از 8.8 از 10 و جزو آسیب پذیری های حیاتی است. چند ماه بعد، کدهای اثبات مفهوم و دستورالعمل های استفاده آن در دسترس قرار گرفت. با این حال، تعداد قربانیان هنوز بسیار زیاد است.
دلیل تعداد زیاد قربانیان عواملی است که از دسترس خارج میشوند. به عنوان مثال، OVH، یک شرکت فرانسوی که خدمات میزبانی ابری را ارائه می دهد، گفت که نتوانسته است وصله های امنیتی را روی سرورهایی که مشتریانش نصب کرده بودند نصب کند.
جولیان لواردمدیر ارشد امنیت اطلاعات OVH گفت: از آنجایی که سیستم عامل ESXi فقط بر روی سرورهای فیزیکی کامپیوتر قابل نصب است، تاکنون چندین راه حل را برای شناسایی سرورهای آسیب پذیر امتحان کرده اند تا بر اساس گزارش های اتوماسیون، بتوانند نصب ESXi توسط مشتریان خود را تشخیص دهند. اما به دلیل عدم دسترسی به سرورهای مشتریان، ابتکار عمل محدودی داشتند.
در همین حال، این شرکت دسترسی به پورت 427 را مسدود کرده است تا در صورت شناسایی، مدیر سرورهای آسیب پذیر را مطلع کند.