Из-за недостаточной проверки параметров, передаваемых в устаревшее API HTTP-запросов, возможно внедрение специально подготовленных операционных систем команд в несколько параметров и выполнение вредоносного кода на хост-системе OpenTSDB. Этот эксплойт существует из-за неполного исправления, которое было выполнено, когда эта уязвимость ранее была раскрыта как CVE-2020-35476. Проверка регулярных выражений, которая была реализована для ограничения допустимого ввода в API запросов, не работает должным образом, позволяя подготовленным командам обходить проверку.