Ang usa ka malampuson nga pag-atake nanginahanglan sa presensya sa usa sa mga module sa ikatulo nga partido nga adunay mga imahe o mga icon. Lakip sa maong mga module mao ang Icinga Business Process Modeling, Icinga Director,
Icinga Reporting, Maps Module ug Globe Module. Kini nga mga module mismo wala maglangkob sa mga kahuyangan, apan kini mga hinungdan nga nagtugot sa pag-organisar sa usa ka pag-atake sa Icinga Web.
Ang pag-atake gihimo pinaagi sa pagpadala sa HTTP GET o POST nga mga hangyo sa usa ka handler nga nag-alagad sa mga imahe, ang pag-access nga wala magkinahanglan usa ka account. Pananglitan, kung ang Icinga Web 2 magamit ingon "/icingaweb2" ug ang sistema adunay usa ka module sa proseso sa negosyo nga na-install sa direktoryo nga /usr/share/icingaweb2/modules, mahimo ka magpadala usa ka hangyo nga "GET /icingaweb2/static" aron mabasa ang mga sulud. sa /etc/os-release file /img?module_name=businessprocess&file=../../../../../../../etc/os-release.β
Source: opennet.ru