XML 语法允许自动包含其他文件，这些文件可以在同一系统上，甚至在其他地方（通过 URL）。参见例如这个文档。从概念上讲，攻击是这样一种情况，攻击者可以在一段 XML 中添加“外部实体引用”，该 XML 将被具有该服务器权限的机器（例如 Web 服务器）解释为 XML；然后，攻击者可以让机器读取他选择的本地文件（服务器本地文件）并将其包含在解释的 XML 中。如果随后将解释的 XML 发送回攻击者，那么攻击者将获得对服务器本地文件的读取访问权限。

我们可以想象在 CMS 系统中，攻击者可以插入带有 XML 语法的消息。如果 CMS 允许来自攻击者的任意XML，那么攻击者可以使用外部实体来读取和显示文件，例如/etc/passwd（或者即使/etc/shadowCMS 运行为root）。