Die Schwachstelle steckt im WordPress-Plugin WP Photo Album Plus, einer Erweiterung zur Verwaltung von Fotoalben. Das Plugin bereinigt und maskiert einen vom Nutzer übergebenen Parameter nicht ordnungsgemäß, bevor es ihn in einer SQL-Datenbankabfrage verwendet. Dadurch lässt sich eigener Code in die Abfrage einschleusen – eine sogenannte SQL-Injection. Besonders kritisch ist, dass der Angriff ohne vorherige Anmeldung möglich ist: Ein unauthentifizierter Angreifer kann die manipulierte Eingabe aus der Ferne übermitteln und so die Datenbankabfragen der betroffenen Website beeinflussen. Auf diesem Weg kann er Daten auslesen, verändern oder anderweitig auf den Inhalt der Datenbank zugreifen, die normalerweise nicht für ihn bestimmt sind. Betroffen sind WordPress-Websites, auf denen dieses Plugin installiert ist.