Die Schwachstelle betrifft das WordPress-Plugin Smart Slider 3, mit dem sich Bildergalerien und Slider in Webseiten einbinden lassen. Der Defekt steckt in der Funktion zum vollständigen Export der Slider-Daten: Über diese Exportfunktion lässt sich das Lesen beliebiger Dateien erzwingen. Dadurch kann ein angemeldeter Angreifer Inhalte beliebiger Dateien auf dem Server auslesen, die nicht für ihn bestimmt sind und vertrauliche Informationen enthalten können – etwa Konfigurationsdaten oder Zugangsschlüssel. Besonders heikel ist die niedrige Hürde für den Angriff: Bereits ein Konto mit der untersten Berechtigungsstufe, der reinen Abonnenten-Rolle, genügt; höhere Rechte sind nicht erforderlich. Da sich solche Abonnenten-Konten auf vielen WordPress-Seiten frei oder mit geringem Aufwand anlegen lassen, ist der Kreis möglicher Angreifer entsprechend groß. Betroffen sind WordPress-Installationen, auf denen das Plugin aktiv ist.