Die Schwachstelle betrifft das Gravity-SMTP-Plugin für WordPress. Über einen REST-API-Endpunkt, der für die Bereitstellung von Mock-Testdaten registriert ist, lassen sich interne Systeminformationen abrufen. Die Ursache liegt in einer fehlerhaften Berechtigungsprüfung: Die Zugriffskontrolle des Endpunkts gibt bedingungslos „erlaubt“ zurück, sodass jeder beliebige Besucher den Endpunkt ohne Anmeldung aufrufen kann. Wird zusätzlich ein bestimmter Abfrageparameter angehängt, der auf die Einstellungsseite des Plugins verweist, füllt eine interne Methode die Verbindungsdaten und der Endpunkt liefert daraufhin einen umfangreichen System-Report als JSON aus. Ein unauthentifizierter Angreifer kann auf diese Weise detaillierte Konfigurationsdaten auslesen: PHP-Version und geladene Erweiterungen, Webserver-Version, Pfad des Dokumentenstamms, Typ und Version des Datenbankservers, WordPress-Version, alle aktiven Plugins samt Versionen, das aktive Theme, WordPress-Konfigurationsdetails, Namen von Datenbanktabellen sowie sämtliche im Plugin hinterlegten API-Schlüssel und Tokens. Diese Informationen erleichtern gezielte Folgeangriffe erheblich.