Die Schwachstelle betrifft das Amelia-Booking-Plugin für WordPress, ein Erweiterungsmodul zur Termin- und Buchungsverwaltung. Es handelt sich um eine unsichere direkte Objektreferenz (Insecure Direct Object Reference): Das Plugin gewährt den Zugriff auf interne Objekte anhand von Kennungen, die der Benutzer selbst kontrollieren kann, ohne dabei ausreichend zu prüfen, ob die anfragende Person überhaupt zugriffsberechtigt ist. Dadurch lässt sich die Autorisierung umgehen und auf Systemressourcen zugreifen, die eigentlich geschützt sein sollten. Ausnutzbar ist der Fehler durch angemeldete Angreifer, die lediglich über Kundenrechte oder eine höhere Berechtigungsstufe verfügen. Auf diesem Weg können sie fremde Benutzerpasswörter ändern und im Ergebnis möglicherweise sogar Administratorkonten übernehmen – also die vollständige Kontrolle über die betroffene WordPress-Installation erlangen. Der Defekt steckt zudem in der kostenpflichtigen Pro-Variante des Plugins, die unter derselben Kennung geführt wird.