По результатам сканирования Сети было обнаружено 320 тыс. почтовых серверов, уязвимых к так называемой атаке с использованием внедрения команд. Некоторые из популярных клиентов, затронутых уязвимостями, включают Apple Mail, Gmail, Mozilla Thunderbird, Claws Mail, Mutt, Evolution, Exim, Mail.ru, Samsung Email, Yandex и KMail.
Для осуществления атак злоумышленнику необходимо вмешаться в соединения, установленные между почтовым клиентом и почтовым сервером поставщика, а также иметь учетные данные для входа в свою учетную запись на том же сервере.
Альтернативный сценарий атаки может облегчить подделку почтового ящика путем вставки дополнительного содержимого в сообщение сервера в ответ на команду STARTTLS перед TLS-рукопожатием. Атакующий может обманом заставить клиент обработать команды сервера так, как если бы они были частью зашифрованного соединения. Исследователи окрестили атаку «ответным внедрением».
Последний вариант атаки касается IMAP-протокола, который определяет стандартизированный способ для почтовых клиентов получать сообщения электронной почты с почтового сервера через соединение TCP/IP. Злоумышленник может обойти STARTTLS в IMAP, отправив приветствие PREAUTH — ответ, который указывает, что соединение уже было аутентифицировано внешними средствами. Таким образом хакер может предотвратить обновление соединения и заставить клиента установить незашифрованное соединение.