In dem auf PHP und MySQL beruhenden Content-Management-System Mambo stecken laut einem Fehlerbericht vier Schwachstellen, durch die Angreifer vertrauliche Daten ausspähen oder das System beschädigen können. So filtert das Skript mambots/editors/mostlyce/jscripts/tiny_mce/filemanager/connectors/php/connector.php den Inhalt des Parameters file[NewFile][tmp_name] nicht richtig, sodass sich durch spezielle Angaben Dateien auf dem Server löschen lassen, etwa die Datei configuration.php. Sofern der Administrator das Mambo-Installationsverzeichnis nicht gelöscht oder umbenannt hat, soll es durch das Hochladen einer manipulierten Konfigurationsdatei sogar möglich sein, eine Remote-Datenbank in das System einzubinden. Angreifer könnten dann beliebige Inhalte in das CMS einblenden. Für eine erfolgreiche Attacke muss allerdings der Image Manager im Wurzelverzeichnis des Webservers liegen.