<p dir="ltr">On 9 Jan, 2013 4:30 AM, "Najaf Ali" <<a href="mailto:ali@happybearsoftware.com">ali@happybearsoftware.com</a>> wrote:<br>
><br>
> +1, this vulnerability allows you to run more or less whatever code you like in any application, even if you don't have controllers.</p>
<p dir="ltr">I think this bit is interesting.<br>
 <br>
Parameters get parsed before a route is matched. And this vulnerability occurs right at this point. <br>
  </p>