Atlassian Crowd and Crowd Data Center tinha o plug-in de desenvolvimento pdkinstall habilitado incorretamente nas versões de lançamento. Os atacantes que podem enviar solicitações não autenticadas ou autenticadas para uma instância do Crowd ou Crowd Data Center podem explorar essa vulnerabilidade para instalar plug-ins arbitrários, o que permite a execução remota de código em sistemas que executam uma versão vulnerável do Crowd ou Crowd Data Center.