Die Schwachstelle betrifft ein WordPress-Plugin, das Daten von beliebigen Webseiten ausliest und in WordPress- sowie WooCommerce-Installationen importiert (Scraper-Funktion). Der Defekt erlaubt das unautorisierte Hochladen beliebiger Dateien: Ein Angreifer kann ohne vorherige Anmeldung und ohne gültige Zugangsdaten eigene Dateien auf den Server schleusen. Da das Plugin den Upload nicht ausreichend einschränkt, lassen sich auf diesem Weg auch ausführbare Skriptdateien ablegen. Gelingt dies, kann der Angreifer eigenen Code auf dem Webserver ausführen und damit die betroffene WordPress-Seite übernehmen. Weil sich der Angriff aus der Ferne und ohne jede Benutzerinteraktion durchführen lässt, ist jede Website, auf der das Plugin in der verwundbaren Fassung aktiv ist, unmittelbar gefährdet.