Фактически уязвимость содержится в модуле ZPX HTPASSWD - модуль не в состоянии санировать ввод данных пользователем. Таким образом, используя эту уязвимость, любой пользователь, имеющий доступ к странице (администратор, торговый посредник, клиент) может установить на сервер панель для ввода произвольных команд.
Наличие уязвимости подтвердили и разработчики ZPanel. Пользователям ZPanel советуют отключить модуль HTPASSWD.
Команда разработчиков в настоящее время проводит тестирование патча для GitHub. Рабочий патч будет выпущен по окончанию тестирования.
Anti-Malware.ru