Die Schwachstelle steckt im Avada-Builder-Plugin für WordPress, konkret in der Funktion zum Auslesen von SVG-Dateien, die über den Parameter für ein eigenes SVG im Shortcode für Abschnittstrenner angesprochen wird. Über diesen Weg lässt sich ein beliebiger Dateipfad angeben, sodass die Funktion nicht nur SVG-Grafiken, sondern auch andere Dateien vom Server ausliest und deren Inhalt zurückgibt – ein klassischer Fall von unautorisiertem Dateizugriff. Ausnutzen lässt sich der Fehler von angemeldeten Nutzern bereits ab der niedrigsten Rolle, also schon mit einem einfachen Abonnenten-Konto, das auf vielen Websites frei registrierbar ist. Ein Angreifer kann damit beliebige Dateien auf dem Server lesen und an vertrauliche Informationen gelangen – etwa Konfigurationsdateien mit Zugangsdaten zur Datenbank oder andere Geheimnisse. Betroffen sind WordPress-Installationen, die dieses Plugin einsetzen.