m-RAY 被设计为一个易于扩展的框架，可检查各种服务配置中的漏洞，并简化在 z/OS 环境中运行脚本的流程。由于大型机的高度定制化特性，测试人员可以配置他们希望使用的功能，以最适配其工作环境。

待检查的配置缺陷清单基于《z/OS RACF 安全技术实施指南》(STIG) 编制。STIG 是美国国防部用于保护其系统的配置要求，其依据是 NIST 的建议。无论企业是否被要求遵守这些规定，STIG 都为各类软件产品提供了行业最佳实践参考，并构成了此安全工具的基础。团队确定了能为测试人员带来最大价值、且对客户认知最为重要的前 25 项配置缺陷，并将其实现为漏洞检查项。

例如，m-RAY 会检查 Unix 和 TSO 环境中的用户权限级别是否一致，SSH 是否配置为使用安全的加密算法，以及不活跃账户是否会被自动撤销。目前，m-RAY 提供有关 Unix 系统服务环境以及 RACF（z/OS 上处理用户访问控制的安全软件）中大型机配置缺陷的信息。部分检查项能明确判定系统中是否存在特定配置缺陷，而另一些则提供系统信息，例如可访问特定资源的用户账户列表。渗透测试人员随后可与客户协作，判定访问权限是否受到恰当限制。

除了检查系统配置外，m-RAY 的另一项目标是整合现有大型机工具的功能。这些枚举工具通常以 REXX（一种主机脚本语言）编写。在渗透测试中使用此类脚本时，测试人员必须找到开源工具，将其下载至本地计算机，再上传至主机系统，运行并解析结果。为简化此流程，m-RAY 内置了两款最流行的开源 REXX 脚本，并实现了脚本上传、运行及事后环境清理的自动化。测试人员还可向工具添加自定义的 REXX 脚本。

总体而言，通过使用 m-RAY，渗透测试人员能够自动化执行许多原本需要手动操作的漏洞检查，并减少获取系统初步概览所需的时间。