De helft van alle Mac OS X 10.4 Tiger en 10.5 Leopard systemen zijn via een root exploit over te nemen, zo waarschuwde een anonieme onderzoeker op Slashdot. Hierdoor kan een aanvaller bestanden verwijderen en systeeminstellingen veranderen. Niet alle Macs zijn kwetsbaar, wie Remote Management of Apple Remote Desktop heeft ingesteld loopt geen risico.

De kwetsbaarheid misbruikt dat er voor de ARDAgent, onderdeel van de Remote Management functie van Mac OS X 10.4 en 10.5, een setuid bit is ingesteld. Elke user die zo'n executable uitvoert, krijgt de rechten van de gebruiker die de eigenaar van het bestand is. In dit geval is root de eigenaar van ARDAgent, dus wie code via ARDAgent draait, draait deze dus met root-rechten. De op Slashdot getoonde exploit maakt gebruik van AppleScripts dat de ARDAgent ondersteunt en shell script commando's kunnen bevatten.

Om het probleem te testen kun je als standaard gebruiker of gast het volgende commando via de console invoeren: osascript -e 'tell app "ARDAgent" to do shell script "whoami"';. Het lek is, afhankelijk van de configuratie en omstandigheden, via een remote verbinding te misbruiken. Bijvoorbeeld door iemand die via SSH beperkte toegang tot een server heeeft. Er zijn verschillende oplossingen, zoals het verwijderen van de Apple Remote Desktop in /System/Library/CoreServices/ RemoteManagement/ of deze onofficiele fix.