A falha reside na funcionalidade intitulada "Vanity", que permite aos utilizadores criar um Url de Vanity, um URL personalizado para uma empresa (por exemplo, nossaempresa.zoom.us. Através desta funcionalidade, as empresas podiam criar uma versão personalizada dos links de convite do Zoom.
Desta forma, o que os atacantes podiam fazer era convencer as vítimas de que o convite que recebiam eram válido e, com base nesse pretexto, criar um URL que apontaria, na verdade, para um URL controlado por eles, e com um nome que se assemelhasse ao do alvo. Conseguindo convencer as vítimas, o atacante podia roubar credenciais ou outro tipo de informação sensível.
Também segundo os investigadores da CheckPoint, o atacante podia almejar as interfaces web dedicadas do Zoom, usadas pelas organizações, e redirecionar o utilizador para um URL malicioso com essa funcionalidade do Vanity.
Mais informações e como resolver a falha: https://blog.checkpoint.com/2020/07/16/fixing-the-zoom-vanity-clause-check-point-and-zoom-collaborate-to-fix-vanity-url-issue/