آسیب پذیری XXE یا XML External Entity، بر پایه ی ارسال و دریافت داده ها از طریق XML است. مهاجم با سوء استفاده از این آسیب پذیری داده ها، موجودیت ها یا Entityهای بدخواهانه از جمله اسکریپت مخرب را در قالب یک XML تزریق و ارسال می‌کند. ماشین دریافت کننده پس از خواندن XML دریافت شده، به طور خودکار به پیلود ارسالی مهاجم آلوده می‌شود.