Die Schwachstelle betrifft das Calculation-Addon des Everest-Forms-Pro-Plugins für WordPress, das auf Webseiten Formulare bereitstellt. Sie entsteht in der Funktion process_filter(), die vom Nutzer in Formularfeldern eingegebene Werte ohne ausreichende Maskierung zu einer Zeichenkette aus PHP-Code zusammensetzt und diese anschließend an eval() übergibt – also als Programmcode ausführt. Die zur Bereinigung eingesetzte Filterung entfernt zwar Teile der Eingabe, lässt aber einfache Anführungszeichen und weitere Zeichen unangetastet, die in PHP eine eigene Bedeutung haben. Dadurch kann ein Angreifer aus dem PHP-Code-Kontext ausbrechen. Ausnutzbar ist die Lücke aus der Ferne und ohne Anmeldung: Wird in einem Formular die Funktion “Complex Calculation” verwendet, genügt ein präparierter Wert in einem beliebigen textbasierten Feld (Text, E-Mail, URL, Auswahl- oder Optionsfeld), um beliebigen PHP-Code auf dem Server einzuschleusen und ausführen zu lassen. Damit erlangt der Angreifer die Kontrolle über die betroffene Webseite.