Die Schwachstelle betrifft das WordPress-Plugin W3 Total Cache, das zur Leistungs- und Cache-Optimierung von WordPress-Webseiten eingesetzt wird. Der Defekt steckt in der internen Funktion zur Verarbeitung dynamischer Inhaltsbausteine (_parse_dynamic_mfunc) und ermöglicht eine Befehlsinjektion. Ausnutzen lässt sich die Lücke ohne jede Anmeldung: Ein unauthentifizierter Angreifer kann zu einem Beitrag einen Kommentar mit einer präparierten Schadnutzlast absenden. Diese wird anschließend von der verwundbaren Funktion ausgewertet, wodurch der Angreifer eigene PHP-Befehle auf dem Server ausführen kann. Da der Code im Kontext der WordPress-Installation läuft, kann ein Angreifer auf diesem Weg die betroffene Webseite kompromittieren – etwa Inhalte manipulieren, auf Daten zugreifen oder weiteren Schadcode hinterlegen. Betroffen sind WordPress-Installationen, auf denen dieses Plugin aktiv ist und die das Einreichen von Kommentaren erlauben.