Пользователь имеющий право на изменение одних атрибутов объекта при определенных условиях может изменить атрибуты, к которым он не должен иметь доступа.
vulners.com/securityvulns/securityvulns:doc:94