A Rapid7 kiberbiztonsági cég és a Zyxel május 12-én tájékoztatta a felhasználókat, hogy a Zyxel ATP, VPN és USG FLEX sorozatú üzleti tűzfalai kritikus sebezhetőség által érintettek, amelyet egy távoli, nem hitelesített támadó kihasználhat tetszőleges kódfuttatásra.
A CVE-2022-30525 néven nyomon követett hiba az eszközök HTTP interfészén keresztül használható ki. A Rapid7 kifejlesztett egy Metasploit modult, és megmutatta, hogyan kapcsolódhat a támadó az áldozat eszközéről a sajátjára. A biztonsági rést áprilisban jelentették a Zyxelnek, és a ZLD 5.30 kiadásával gyorsan javították, azonban a gyártó nem tájékoztatta az ügyfeleket a sebezhetőségről és a kapcsolódó kockázatokról, amíg a Rapid7 május 12-én nyilvánosságra nem hozta kutatási eredményeit.
A Shadowserver Foundation a hétvégén arról számolt be, hogy május 13-án megkezdődtek a sebezhetőség elleni kihasználási kísérletek és közel 21 000 potenciálisan érintett tűzfalat azonosítottak, amelyek többnyire Franciaországban, Olaszországban, az Egyesült Államokban és Svájcban találhatók.
A Shadowserver riasztását látva Rob Joyce, az NSA kiberbiztonsági igazgatója a Twitteren figyelmeztette a szervezeteket, és azt tanácsolta nekik, hogy mielőbb frissítsék a tűzfalaikat.