unserialize
permite la creación de construcciones de objetos arbitrarios de cualquier clase con atributos arbitrarios. Durante la deserialización, la vida útil de un objeto y la interacción con el objeto, se pueden llamar varios métodos, incluidos métodos mágicos , usando estos Atributos arbitrariamente definibles. Un atacante puede utilizar la funcionalidad provista dentro de estos métodos llamados para su beneficio.
Al final, la capacidad de explotación de una vulnerabilidad de este tipo depende únicamente de las clases disponibles y sus funcionalidades. Eche un vistazo a la sección Ejemplos observados y Referencias de CWE -915: Modificación controlada incorrectamente de atributos de objeto determinados dinámicamente para obtener ejemplos e información adicional.
Y desde la mencionada vulnerabilidad en FreePBX es accesible sin autenticación (en realidad sucede durante el proceso de autenticación), se puede decir que omite la autenticación.