Podatność, która została odkryta w Pingkon HMS-PHP. Problemem dotknięta jest nieznana funkcja w pliku admin/adminlogin.php. Poprzez manipulowanie argumentem uname/pass przy użyciu nieznanych danych wejściowych można doprowadzić do wystąpienia podatności sql injection. Raport na temat podatności został udostępniony pod adresem github.com. Podatność ta jest znana jako CVE-2022-3972. Atak może zostać zainicjowany zdalnie. Techniczne szczegóły są znane. Uważa się go za proof-of-concept. Exploit można ściągnąć pod adresem github.com. Potencjalne zabezpieczenie zostało opublikowane jeszcze przed po ujawnieniu podatności.