Sårbarheten finns i en komponent till Netweaver Application Server Java systems som heter Invoker Servlet.
Men minst 36 organisationer, flera av dem multinationella, runtom i världen har uppenbarligen missat det.
Den amerikanska it-säkerhetsmyndigheten US-Cert hänvisar till säkerhetsföretaget Onapsis som upptäckt attacken.
Läs också: Allvarligt säkerhetshål i samtliga versioner av Windows
Enligt Onapsis rör det sig om fjärrstyrda attacker som har full tillgång till de berörda SAP-plattformarna vilket ger dem kontroll över både affärsinformation och processer och det kan också ge dem tillgång till andra system som de är integrerade med – både SAP-system och andra.
Dessutom råder man användare och administratörer att vidta ett antal åtgärder som att skanna igenom systemen för att se om säkerhetspatchar saknas eller om systemen är konfigurerade på riskabla sätt, identifiera och analysera säkerhetsinställningarna på SAPs olika gränssnitt mellan system och applikationer för att se om det finns några risker där, leta efter misstänkta användarmönster bland annat.
Läs också: 400 miljoner Android-telefoner har säkerhetshål som inte täppts till
Saker som, konstaterar The Register, inte är något som man tänker sig borde behövas men som uppenbarligen åtminstone 36 företag behöver hjälp med.