Onderzoeker Michael Stepankin heeft een kwetsbaarheid gevonden in PayPal. Door gebruik te maken van de kwetsbaarheid was het voor Stepankin mogelijk om systeemcommando's uit te voeren op de PayPal-servers.
Stepankin geeft aan de remote code execution-kwetsbaarheid te hebben gevonden op een van PayPals bedrijfswebsites. De kwetsbaarheid stelde hem in staat om willekeurige shell-commando's uit te voeren op de PayPal-servers dankzij onveilige Java-objectdeserialisatie. Hiermee had hij toegang tot de productiedatabases van PayPal. Hij heeft de kwetsbaarheid aan PayPal gemeld, waarop het bedrijf de kwetsbaarheid heeft opgelost en Stepankin een vergoeding heeft gegeven.
In december 2015 voerde de onderzoeker veiligheidstests uit van de manager.paypal.com-website toen hij erachter kwam dat het mogelijk was om willekeurige besturingscommando's uit te voeren op de PayPal-webservers. Ook kon Stepankin verbinding maken met zijn eigen internetserver, en bijvoorbeeld een backdoor uploaden en gebruiken. Om de kwetsbaarheid aan te tonen kopieerde Stepankin het "/etc/passwd"-bestand naar zijn eigen server. Ook maakte hij een video waarin hij gebruikmaakt van de Java Object Deserialization-kwetsbaarheid.
PayPal geeft aan dat de kwetsbaarheid groter was dan waarop werd geanticipeerd. De oorzaak van de kwetsbaarheid zijn Java-applicaties die verdachte data toch deserialiseren en commons-collections in hun classpath hebben. Mark Litchfield, een van de veiligheidsonderzoekers van PayPal, had de kwetsbaarheid volgens het bedrijf al enkele dagen voordat Stepankin die meldde aangegeven. Volgens Litchfield waren er negen verschillende punten waarbij het probleem voorkwam, maar PayPal claimt dat ze allemaal dezelfde oorsprong hadden en dat het desbetreffende probleem is opgelost.