Die Schwachstelle betrifft das Caching-Plugin Breeze für WordPress. Ursache ist eine fehlende Prüfung des Dateityps in der Funktion zum Abrufen von Gravatar-Profilbildern von einem entfernten Server. Dadurch lassen sich beliebige Dateien hochladen: Ein Angreifer kann ohne vorherige Anmeldung und aus der Ferne eigene Dateien auf den Server der betroffenen Website schleusen. Da die hochgeladene Datei keiner Inhaltskontrolle unterliegt, kann darüber unter Umständen Schadcode auf dem Server zur Ausführung gebracht werden, was bis zur Übernahme der Website führen kann. Ausnutzbar ist die Lücke allerdings nur, wenn die Option zum lokalen Speichern der Gravatar-Bilder ausdrücklich eingeschaltet ist; in der Standardeinstellung ist diese Funktion deaktiviert, sodass nur Installationen mit aktivierter Option angreifbar sind.