Bei der RFC-Kommunikation rufen ABAP-Programme entfernte Funktionen auf RFC-Servern auf. Während synchroner RFC-Aufrufe kann der Server eine Kommunikation zurück zum Aufrufer starten (Callback). Dazu wird die bereits geöffnete RFC-Verbindung im Kontext des aufrufenden Users verwendet. Weitere Anmeldedaten werden nicht benötigt. Diese sogenannten RFC-Callbacks können ein Sicherheitsrisiko darstellen, wenn die RFC-Kommunikation von einem System mit hohem Schutzbedarf zu einem weniger vertrauenswürdigen System erfolgt.

Mit dem neuen erweiterten xSuite-Parameter XF_RFC_CALLBACK_PROTECTION_ON kann gesteuert werden, ob RFC-Callbacks erlaubt sind.

Im Standard ist die Callback-Protection ausgeschaltet.