XWiki平台是一个通用的维基平台，为构建在其之上的应用程序提供运行时服务。在3.5-milestone-1版本及之前的版本到14.10.8和15.3-rc-1版本之前，通过触发办公转换器时使用特制的文件名，只要Java进程对该位置具有写访问权限，就可以将附件内容写入到被攻击者控制的服务器位置上。特别是在与附件移动功能结合使用时（这是在XWiki 14.0中引入的功能），易于重现，但也可以在早至XWiki 3.5的版本中通过通过REST API上传附件时不删除文件名中的"/"或"\"来再现此漏洞。由于附件的MIME类型对利用不重要，因此可以用于替换扩展的`jar`文件，从而允许执行任意的Java代码，从而影响XWiki安装的机密性、完整性和可用性。此漏洞已在XWiki 14.10.8和15.3RC1中修复。除了禁用办公转换器外，没有已知的解决方法。