該漏洞出現在QTS的No_Support_ACL功能函數當中，其中一個名為strcpy子功能不安全使用所致。攻擊者可發出偽造的惡意請求，而有機會導致NAS設備出現記憶體緩衝區溢位的情況，最終達到遠端執行任意程式碼的目的。

而前述的先決條件，就是攻擊者必須取得使用者共用檔案時產生的「ssid」參數，而這樣的資料，基本上攻擊者可透過社交工程攻擊取得，但研究人員指出，他們也發現許多用戶公開檔案共用連結，並能透過Google找到，從而能進一步挖掘這種參數。

針對watchTowr所公布的消息，5月21日威聯通也發布公告說明。

該公司表示，他們在獲報的15個漏洞當中，對於已經完成確認的漏洞登記了CVE編號，並指出5個他們完成確認的漏洞，皆於同日發布的QTS 5.1.7及QuTS hero h5.1.7版進行修補。這些漏洞是：CVE-2024-21902、CVE-2024-27127、CVE-2024-27128、CVE-2024-27129、CVE-2024-27130，CVSS風險評分介於6.4至7.2分。

而對於其他漏洞，威聯通也在此公告透露處理的情形，承諾後續將著手處理CVE-2024-27131，以及另一個已登記CVE編號的漏洞，並坦承尚有3項漏洞正在向研究人員確認。

至於研究人員公布概念性驗證的CVE-2024-27130，威聯通也對其補充說明，他們在QTS啟用了位址空間布局隨機化（Address Space Layout Randomization，ASLR）的防護措施，因此攻擊者實際想要利用這項漏洞的難度將會提高，儘管如此，他們還是呼籲用戶升級新版QTS、QuTS hero作業系統，來緩解這項漏洞。

而關於watchTowr認為威聯通修補漏洞速度太慢、多次延遲公布漏洞時間，威聯通也在新聞稿中明確提出承諾：「未來，對於被分類為高或關鍵嚴重性的弱點，我們承諾在45天內完成修復並發布修復程式。對於中等嚴重性的弱點，我們將在90天內完成修復並發布修復程式。」