Сервер pgAdmin включает HTTP API, который предназначен для проверки пути, выбранного пользователем для внешних утилит PostgreSQL, таких как pg_dump и pg_restore. Утилита выполняется сервером, чтобы определить, какая версия PostgreSQL используется. Версии pgAdmin до 6.17 не смогли должным образом защитить этот API, что могло позволить неаутентифицированному пользователю вызвать его с выбранным им путем, таким как UNC-путь к серверу, который он контролирует на машине Windows. Это приведет к тому, что исполняемый файл с соответствующим именем в целевом пути будет выполнен сервером pgAdmin.