Die Schwachstelle betrifft das WordPress-Plugin UpdraftPlus: WP Backup & Migration Plugin, das Backups und Datenübertragungen von WordPress-Seiten verwaltet. Der Fehler sitzt in der Funktion, die eingehende Nachrichten der Fernkommunikation verarbeitet. Das Nachrichtenformat wird unzureichend geprüft: Die Signaturprüfung lässt sich umgehen, und nicht ausgewertete Rückgabewerte der Entschlüsselung führen dazu, dass der verwendete Verschlüsselungsschlüssel auf einen vorhersehbaren, durchgängig aus Nullen bestehenden Wert zusammenfällt. Dadurch kann ein Angreifer ohne gültige Zugangsdaten beliebige RPC-Befehle fälschen und sie im Kontext des verbundenen Administrators ausführen lassen. Auf diesem Weg kann er etwa ein bösartiges Plugin hochladen und aktivieren und so letztlich beliebigen Code auf dem Server ausführen. Betroffen sind WordPress-Installationen, die dieses Plugin einsetzen; der Angriff erfordert weder Anmeldung noch Mitwirkung eines Nutzers.