Die Schwachstelle steckt im File-Uploads-Zusatzmodul des WordPress-Formular-Plugins Ninja Forms, das Datei-Uploads über Formulare ermöglicht. Ursache ist eine fehlende Prüfung des Dateityps in der Funktion, die hochgeladene Dateien entgegennimmt: Das Modul kontrolliert nicht, um welche Art von Datei es sich handelt, und akzeptiert daher beliebige Inhalte. Dadurch kann ein Angreifer aus der Ferne und ohne vorherige Anmeldung eigene Dateien auf den Server der betroffenen Website hochladen – auch ausführbare Skripte. Lädt er etwa eine Datei mit Programmcode hoch und ruft sie anschließend auf, kann daraus eine Ausführung von beliebigem Code auf dem Server entstehen. Damit lässt sich die Website potenziell vollständig übernehmen. Betroffen ist jede Website, die das verwundbare Upload-Modul einsetzt und ein Formular mit Datei-Upload öffentlich erreichbar bereitstellt.