Die Schwachstelle steckt im Avada-Builder-Plugin für WordPress, einem Werkzeug zur Gestaltung von Webseiten-Inhalten. Über den Parameter „product_order“ lässt sich eine zeitbasierte SQL-Injection auslösen: Die vom Nutzer übergebene Eingabe wird nicht ausreichend maskiert, und die zugrunde liegende Datenbankabfrage wird nicht sauber vorbereitet. Dadurch kann ein Angreifer eigene Datenbankbefehle an die bestehende Abfrage anhängen. Der Angriff gelingt aus der Ferne und ohne vorherige Anmeldung, sodass kein gültiges Benutzerkonto erforderlich ist. Bei der zeitbasierten Variante schließt der Angreifer aus den Antwortzeiten der Datenbank schrittweise auf deren Inhalte und kann so vertrauliche Informationen auslesen. Eine Besonderheit schränkt die Ausnutzbarkeit ein: Der Angriff funktioniert nur, wenn auf der Seite zuvor die WooCommerce-Erweiterung im Einsatz war und anschließend deaktiviert wurde.