Ce CGI s'exécute ainsi sous un autre compte utilisateur (sauf le compte "root") que celui utilisé pour l'exécution du serveur web Apache, ce compte possédant généralement très peu de privilèges. On peut donc comparer cette fonctionnalité aux fonctions "setuid" et "setgid" sous les systèmes Linux/Unix.

Dans sa réponse aux problèmes identifiés par iDefense, la Fondation Apache estime que l'exploitation de cette vulnérabilité nécessite au préalable un accès plus ou moins privilégié (accès préalable à un compte utilisateur) au système, ce qui rend un peu caduque l'intérêt de ce problème. De plus les privilèges obtenus seront au maximum ceux qui auront été compilés avec le serveur Apache ("AP_UID_MIN" et "AP_GID_MIN"). Les privilèges "root" ne peuvent, quant à eux, jamais être invoqués via l'outil "suEXEC".

Il est dans tous les cas conseillé de ne pas utiliser l'outil "suEXEC", ou de sécuriser le serveur web, notamment en restreignant les accès utilisateurs sur le système hôte. D'ailleurs, cet outil est jugé comme un vecteur d'attaque potentielle non négligeable par la Fondation Apache qui ne le délivre pas dans l'installation par défaut de son serveur web.

• Référence CVE-2007-1741 : http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-1741
• Avis de sécurité d'iDefense : http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=511
• Outil "suEXEC" d'Apache : http://httpd.apache.org/docs/2.0/suexec.html