STWC-Counter 3.4.0.0及之前版本的downloadcounter.php中存在PHP远程文件包含漏洞。远程攻击者可以借助stwc_counter_verzeichniss参数中的一个URL,执行任意的PHP代码。