Die Schwachstelle steckt im Plugin Premmerce Dev Tools für WordPress und ermöglicht das Ausführen von beliebigem Code aus der Ferne. Ursache ist eine fehlende Berechtigungsprüfung: Die für die Plugin-Erzeugung zuständige Funktion verarbeitet vom Nutzer per POST übermittelte Daten, ohne vorab zu prüfen, ob der Aufrufer dazu überhaupt befugt ist. Verschärft wird dies dadurch, dass der übergebene Namensraum-Parameter ungefiltert per Zeichenketten-Ersetzung direkt in PHP-Vorlagendateien eingesetzt wird, die anschließend in das Plugin-Verzeichnis von WordPress geschrieben werden. Ein Angreifer kann in diesen Parameter ein Semikolon und danach eigenen PHP-Code einschleusen; die so erzeugte Plugin-Datei enthält diesen Code und führt ihn aus, sobald sie über HTTP aufgerufen wird. Auf diese Weise lassen sich beliebige PHP-Dateien auf dem Server anlegen. Ausnutzen können dies bereits angemeldete Nutzer mit niedrigen Rechten ab der Abonnenten-Stufe, was die Hürde für einen Angriff sehr gering hält.