MyBB - это бесплатное программное обеспечение для форумов с открытым исходным кодом. В уязвимых версиях модуль управления настройками Admin CP не проверяет типы настроек должным образом при вставке и обновлении, что позволяет добавлять настройки поддерживаемого типа php с PHP-кодом, выполняемым на страницах Change Settings. Это приводит к уязвимости удаленного выполнения кода (RCE). Уязвимый модуль требует доступа к Admin CP с разрешением Can manage settings?. Модуль настроек MyBB, который позволяет администраторам добавлять, изменять и удалять настройки, отличные от настроек по умолчанию, хранит данные настроек в строке кода параметров ($options_code; столбец базы данных mybb_settings.optionscode), которая идентифицирует тип настройки и ее параметры, разделенные символом новой строки (\n). В MyBB 1.2.0 была добавлена поддержка типа настройки php, для которого оставшаяся часть кода параметров является PHP-кодом, выполняемым на страницах Change Settings (зарезервировано для плагинов и внутреннего использования). MyBB 1.8.30 решает эту проблему. В настоящее время нет известных обходных путей.