Die Schwachstelle betrifft JetEngine, ein Erweiterungs-Plugin für WordPress, mit dem sich Inhaltstypen, dynamische Inhalte und Datenstrukturen aufbauen lassen. Es handelt sich um eine PHP-Object-Injection: An einer Stelle verarbeitet das Plugin von außen gelieferte Daten so, dass daraus PHP-Objekte erzeugt (deserialisiert) werden, ohne diese Eingabe ausreichend abzusichern. Ein Angreifer kann dadurch präparierte, serialisierte Daten einschleusen und so die Erzeugung beliebiger Objekte erzwingen. Je nachdem, welche weiteren Klassen auf der betroffenen Website vorhanden sind, lässt sich dieser Einstiegspunkt zu schädlichen Folgeaktionen verketten. Besonders schwerwiegend ist, dass der Angriff ohne vorherige Anmeldung möglich ist: Ein unauthentifizierter Angreifer kann die Lücke aus der Ferne ausnutzen. Betroffen sind WordPress-Installationen, auf denen dieses Plugin eingesetzt wird.