AR Web Content Manager (AWCM)在web根目录下存储敏感信息,并且没有经过充分的访问控制限制。远程攻击者可以借助一个对control/db_backup.php的直接请求,下载数据库文件。