이와 같은 버그를 악용하는 동안 공격자는 시스템 명령을 실행할 수 있습니다. 이 경우 코드 삽입 버그를 명령 주입에 사용할 수도 있습니다. 악의적인 사용자는 웹 사이트의 디자인이나 정보를 변경하기 위해 취약한 필드를 통해 HTML 코드를 전송합니다. 여기서 정적 응용 프로그램 보안 테스트(SAST)가 빛납니다. 정적 코드 분석(SCA)과 같은 화이트 박스 테스트 솔루션은 개발 프로세스 초기에 소스 코드를 스캔하고 코드 주입 결함을 찾을 수 있는 능력 덕분에 머리에 부딪혔습니다. 개발자는 강력하고 안전한 응용 프로그램을 보장하기 위해 완화 솔루션과 조정을 정확히 삽입할 위치를 알 수 있습니다. 코드 삽입은 명령 삽입과 다릅니다. 여기서 공격자는 주입된 언어 자체의 기능에 의해서만 제한됩니다. 예를 들어 공격자가 PHP 코드를 응용 프로그램에 삽입하고 실행하도록 할 수 있는 경우 PHP가 수행할 수 있는 것에 의해서만 제한됩니다. 코드 주입 또는 RCE(원격 코드 실행)는 공격자가 주입 공격의 결과로 악성 코드를 실행할 수 있는 공격을 말합니다. 코드 삽입은 공격자가 주입된 코드를 실행하는 언어의 제한에 국한되어 있기 때문에 명령 주입과 다릅니다. 공격자가 코드 주입에서 공격을 에스컬레이션하여 임의의 셸 명령을 실행할 수 있지만 항상 그런 것은 아닙니다.

웹 서버와의 웹 브라우저 상호 작용과 같은 클라이언트-서버 시스템은 셸 주입에 잠재적으로 취약할 수 있습니다. 웹 서버에서 실행할 수 있는 다음 짧은 PHP 프로그램을 고려하여 funnytext라는 외부 프로그램을 실행하여 사용자가 보낸 단어를 다른 단어로 대체합니다. 특정 유형의 코드 삽입은 해석 오류이므로 사용자 입력에 특별한 의미를 부여합니다. 코미디 루틴과 같은 컴퓨터 과학의 세계 외부에도 비슷한 해석 오류가 존재합니다. 루틴에서는 적절한 이름을 일반 단어와 구별하지 못하는 문제가 있습니다. 마찬가지로 일부 유형의 코드 삽입에서는 사용자 입력을 시스템 명령과 구별하지 못하는 경우도 있습니다. SQL 주입의 경우 공격은 위조된 데이터를 생성하기 위해 합법적인 데이터베이스 쿼리를 손상시키는 것을 목표로 합니다. 공격자는 먼저 SQL 쿼리 내에 포함된 대상 웹 응용 프로그램 내에서 입력을 찾아야 합니다. OS 명령 주입 공격은 공격자가 취약한 웹 응용 프로그램을 통해 시스템 수준 명령을 실행하려고 할 때 발생합니다.