แฮ็กเกอร์ใช้ประโยชน์จากช่องโหว่ร้ายแรง CrushFTP เพื่อเข้าถึงสิทธิ์ผู้ดูแลระบบบนเซิร์ฟเวอร์ที่ไม่ได้รับการแก้ไข
เมื่อวันที่ 18 กรกฎาคม 2025 CrushFTP ได้เปิดเผยการโจมตีช่องโหว่แบบ Zero-Day ที่กำลังเกิดขึ้นจริง โดยอาศัยช่องโหว่ร้ายแรงหมายเลข CVE-2025-54309 ซึ่งมีคะแนนความรุนแรง CVSS สูงถึง 9.0 ช่องโหว่นี้เกิดจากการจัดการตรวจสอบ AS2 ที่ไม่เหมาะสมในฟีเจอร์ DMZ Proxy ที่ถูกปิดใช้งาน ทำให้ผู้ไม่หวังดีสามารถเข้าถึงสิทธิ์แอดมินผ่านโปรโตคอล HTTPS ได้ ช่องโหว่นี้ส่งผลกระทบต่อ CrushFTP เวอร์ชัน 10 ก่อน 10.8.5 และเวอร์ชัน 11 ก่อน 11.3.4_23