De fout in Cisco's IOS (Internetwork Operating System) heeft te maken met de timerfuncties die IOS gebruikt om bepaalde systeemtaken uit te voeren. Beveiligingsexperts classificeren het lek als 'kritiek'.

Onder bepaalde omstandigheden kunnen aanvallers eigen code op de router uitvoeren en zo controle over het systeem krijgen, aldus Cisco in een waarschuwing.

De fabrikant heeft inmiddels een patch ontwikkeld en zegt dat het lek nog niet door aanvallers is misbruikt.

Het lek is volgens Cisco ontdekt naar aanleiding van een onderzoek dat werd ingesteld na een exploitdemonstratie. Deze demonstratie werd in juli vorig jaar gegevens tijdens een de Black Hat-conferentie door Michael Lynn, onderzoeker bij Internet Security Systems (ISS).

Lynn demonstreerde destijds hoe een eerder ontdekt lek in Cisco's IOS kon worden misbruikt. Hierna moest hij noodgedwongen vertrekken bij ISS en werd hij door Cisco aangeklaagd.