Den Text habe ich verstanden. Dies kann jedoch nur passieren, wenn das Programm via OWNER erhöhte Berechtigung mitbringt. QCMDEXC ist es z.B. nicht.
Welche Sicherheitslücke wird da nun wie geschlossen? Ist der unqualifizierte Prozeduraufruf nicht mehr erlaubt? Das wäre wirklich fatal.

Sicherlich kann ich per SQL via ODBC einen DSPPGM *OUTFILE erstellen und mir Programme mit OWNER-Berechtigung ermitteln. Solange ich aber über die Parameter nichts herausfinde kann ich diese Programme nicht aufrufen ohne dass diese dann abstürzen.

Mit ein wenig Mühe kann ich via QCMDEXC eine SRC-PF erstellen, einen Quelltext schreiben und ein Programm erstellen (analog RDi). Aber ohne die nötige Berechtigung wie ALLOBJ kann ich den Eigner nicht auf z.B. QSECOFR stellen und die Ausführung auf *OWNER.

Ich musste mir mal selber bei einem Kunden erhöhte Rechte geben, weil der Admin Urlaub und der Produktionsleiter sein Profil abgeschossen hatte.
Per DSPUSRPRF in *OUTFILE habe ich mir einen User herausgesucht, der *ALLOBJ hatte und für den ich auf Grund des Gruppenprofiles ebenso Rechte hatte.
Somit konnte ich einen einmaligen SCD-Job erstellen, der einen SBMJOB mit QSECOFR ausführte mit der Berechtigung dieses Users, der dann wiederum einen CHGUSRPRF für mein Profil mit *ALLOBJ und *SECADM aufrief.
Aber ohne die Sicherheitslücke *ALLOBJ hätte ich nicht helfen können.