In allen Versionen des Aquarius CMS der Firma Aquaverde GmbH aus Biel befindet sich eine Sicherheitslücke die es ermöglicht, die vom Webserver gesendeten Mails einzusehen. Namentlich handelt es sich um Kontaktformulardaten, Bestellungen im Shop oder Password-Reset-Links. Die zwei ersteren führen zu einem Verlust von Kundendaten, der letzte Mail-Typ ermöglicht es jedoch, ein Konto zum Intranet zu übernehmen, da sich der Password-Reset-Link abgreifen lässt.

In einigen Versionen des Aquarius CMS (Versions & Konfigurationsabhängig) fehlt ein Teil des Backends. Das Fehlen dieses Komponenten führt dazu, dass in der Logdatei (siehe CVE-2019-9724) durch eine standardmässig aktivierte Debuggingfunktion der Benutzername und das Passwort in der Logdatei gespeichert wird. Diese Daten können dann zur Anmeldung im Backend verwendet werden.