Die Schwachstelle steckt im Restaurant-Cafeteria-WordPress-Theme. Mehrere über die WordPress-Schnittstelle admin-ajax erreichbare Aktionen sind unzureichend abgesichert: Es fehlen sowohl die Prüfung eines Sicherheits-Tokens (Nonce) als auch eine Berechtigungsprüfung. Dadurch kann jeder angemeldete Nutzer – selbst ein einfacher Abonnent mit den geringsten Rechten – privilegierte Vorgänge auslösen, für die er eigentlich nicht berechtigt ist. Besonders schwerwiegend: Ein Angreifer kann über eine selbst angegebene URL Code von außen einspielen und aktivieren und auf diesem Weg beliebigen PHP-Code auf dem Server ausführen, also die Anwendung vollständig übernehmen. Zusätzlich lässt sich sogenannter Demo-Inhalt importieren, der die Konfiguration der Website überschreibt – darunter Theme-Einstellungen, Seiten, Menüs und die Festlegung der Startseite. Betroffen sind WordPress-Installationen, auf denen dieses Theme eingesetzt wird; da bereits ein Konto mit minimalen Rechten genügt, ist die Hürde für einen Angriff sehr niedrig.