Die Schwachstelle steckt in einem WordPress-Plugin für Benutzerregistrierung und Mitgliederverwaltung, das unter anderem Registrierungs- und Anmeldeformulare, Benutzerprofile und eine Zugriffsbeschränkung für Inhalte bereitstellt. Der Fehler ist eine fehlerhafte Rechteverwaltung: Bei der Registrierung für eine Mitgliedschaft übernimmt das Plugin die gewünschte Benutzerrolle aus den vom Anwender gesendeten Formulardaten, ohne serverseitig zu prüfen, ob diese Rolle überhaupt zulässig ist. Eine verbindliche Positivliste erlaubter Rollen wird nicht durchgesetzt. Dadurch kann ein Angreifer aus der Ferne und ohne vorherige Anmeldung beim Registrieren einfach einen beliebigen Rollenwert mitschicken – etwa den eines Administrators – und sich so ein Konto mit höchsten Verwaltungsrechten anlegen. Mit einem solchen Administratorzugang lässt sich die gesamte WordPress-Website kontrollieren: Inhalte und Einstellungen ändern, weitere Schadfunktionen einschleusen und auf alle Daten zugreifen. Betroffen sind alle Websites, auf denen dieses Plugin aktiv ist.