Die Schwachstelle betrifft das Plug-in „Contact Form to Any API", das eingehende Formulardaten an externe Schnittstellen weiterleitet. Es handelt sich um eine Cross-Site-Scripting-Lücke (XSS): Eine Eingabe wird nicht ausreichend bereinigt, bevor sie ausgegeben wird, sodass ein Angreifer eigenen Skriptcode einschleusen kann, der anschließend im Browser eines Opfers ausgeführt wird. Besonders kritisch ist, dass der Angriff ohne vorherige Anmeldung möglich ist – ein unauthentifizierter Angreifer aus dem Netz benötigt also keine gültigen Zugangsdaten. Über den eingeschleusten Code lassen sich beispielsweise Sitzungen übernehmen, Aktionen im Namen angemeldeter Nutzer auslösen oder Inhalte im Kontext der betroffenen Seite manipulieren. Betroffen sind Installationen, die dieses Plug-in einsetzen.