Ursprungligen rapporterat av: Olaf Kirch <okir@lst.de>
Hålet kan utnyttjas om du låter metamail köra showext för meddelanden av typen message/external-body. Åtminstone tcsh, och möjligen några andra csh-varianter, verkar göra konstiga saker när de expanderar kommandoradsparametrar. Om du ger ett skript parametern "foo FTP=/tmp/evilcmd", och det gör
set var=$1
kommer detta tilldela foo till $var, och /tmp/evilcmd till $FTP. Tyvärr anropar metamail showext med mime-attributen på kommandoraden, så du kan helt enkelt sända det ett sidhuvud på formen
Content-type: message/external-body; access-type="anon-ftp"; name="passwd"; site="monad.swb.de"; directory="/etc"; mode="image FTP=/tmp/evilcmd"
Längre det kommer skriptet köra $FTP för att initiera en ftp-överföring. Hittills har det inte varit möjligt att sända med parametrar till kommandot, men det betyder inte att du inte kan göra intressanta saker som ovan.
[Patch bortagen på grund av ålder]