Podatność została odkryta w Air Transfer 1.0.14/1.2.1. Problemem dotknięta jest nieznana funkcja. Dzięki manipulacji przy użyciu nieznanych danych wejściowych można doprowadzić do wystąpienia podatności cross site scripting. Raport na temat podatności został udostępniony pod adresem vulnerability-lab.com. Podatność ta została oznaczona identyfikatorem CVE-2017-20100. Możliwe jest zdalne przeprowadzenie ataku. Uważa się go za proof-of-concept. Exploit można ściągnąć pod adresem vulnerability-lab.com. Potencjalne zabezpieczenie zostało opublikowane jeszcze przed po ujawnieniu podatności.