Die Schwachstelle betrifft das WordPress-Plugin „Ally – Web Accessibility & Usability" und ermöglicht eine SQL-Injection. Sie sitzt in der Methode, die globale Korrekturen abruft (get_global_remediations()): Der vom Nutzer übergebene URL-Pfad wird unzureichend abgesichert und unmittelbar in eine SQL-JOIN-Klausel eingefügt. Zwar wird die URL über eine Funktion zur URL-Bereinigung geprüft, doch diese filtert keine SQL-Sonderzeichen wie einfache Anführungszeichen oder Klammern heraus. Dadurch kann ein Angreifer eigene SQL-Anweisungen an die bestehende Abfrage anhängen. Ausnutzbar ist dies aus der Ferne und ohne vorherige Anmeldung; mit Hilfe zeitbasierter blinder SQL-Injection lassen sich vertrauliche Daten aus der Datenbank auslesen. Voraussetzung ist, dass das Korrektur-Modul (Remediation) aktiv ist, was eine Verbindung des Plugins mit einem Elementor-Konto erfordert.