Die Schwachstelle steckt im WordPress-Plugin „PowerPack for LearnDash", einer Erweiterung für die Lernplattform LearnDash. Eine über AJAX aufgerufene Funktion des Plugins prüft weder, ob der Aufrufer überhaupt dazu berechtigt ist, noch schützt sie sich gegen gefälschte Anfragen (fehlende CSRF-Absicherung). Dadurch kann ein Angreifer ohne jede Anmeldung diese Aktion auslösen und beliebige WordPress-Einstellungen verändern – etwa die Option für die Standard-Benutzerrolle. In der Folge lassen sich neue Benutzerkonten mit Administratorrechten anlegen. Damit verschafft sich der Angreifer die vollständige Kontrolle über die betroffene WordPress-Website. Da der Angriff weder Zugangsdaten noch eine Benutzerinteraktion erfordert und über eine öffentlich erreichbare Schnittstelle läuft, ist jede Website angreifbar, auf der das Plugin installiert und aktiv ist.