No me queda claro: ¿la vulnerabilidad está en el servidor web (apache, tux, elquesea...) o en el software que usan los CMS (Drupal, wiki, etc...)?