Существовала возможность разработать специальную форму для атаки, которая бы переписывала параметры конфигурации. Кроме этого, некоторые скрипты были уязвимы для XSS атак.

Один из передаваемых скрипту параметров не был проверен на корректность и открывал дыру для локального инклюдинга файлов.

Исправлено отсутствие проверки на валидность параметра ‘convcharset’, что открывало брешь для XSS-атаки.

Злоумышленник мог добиться, чтобы phpMyAdmin показал сообщение об ошибке PHP, содержащее полный путь к директории, где установлен phpMyAdmin.

Возможности инъекции переменной была обнаружена в phpMyAdmin, что позволяло нападающему осуществить межсайтовый скриптинг (XSS)