Уязвимость локального включения файлов в FileServlet во всех версиях SearchBlox до 9.2.2 позволяет удаленным не прошедшим проверку подлинности пользователям читать произвольные файлы из операционной системы через запрос /searchblox/servlet/FileServlet?col=url=. Кроме того, это можно использовать для чтения содержимого файла конфигурации SearchBlox (например, searchblox/WEB-INF/config.xml), который содержит как ключ API суперадминистратора, так и хэши SHA1 паролей других пользователей SearchBlox, закодированные в base64.