Concrete5 до версии 8.5.5 десериализует ненадежные данные. Уязвимый код находится в методе controllers/single_page/dashboard/system/environment/logging.php Logging::update_logging(). Пользовательский ввод, передаваемый через параметр запроса logFile, неправильно очищается перед использованием в вызове функции PHP file_exists(). Это может быть использовано злонамеренными пользователями для внедрения произвольных объектов PHP в область действия приложения (PHP Object Injection через phar:// stream wrapper), что позволит им осуществлять различные атаки, такие как выполнение произвольного кода PHP.