Die Schwachstelle betrifft das Analyse-Plugin Burst Statistics für WordPress, eine datenschutzfreundliche Alternative zu Google Analytics. Der Fehler steckt in der internen Funktion zur Authentifizierungsprüfung, die feststellen soll, ob eine Anfrage über die MainWP-Anbindung berechtigt ist. Beim Prüfen sogenannter Anwendungspasswörter aus dem Authorization-Header der HTTP-Anfrage wertet diese Funktion den Rückgabewert falsch aus. Dadurch kann ein nicht angemeldeter Angreifer die Anmeldung umgehen: Kennt er den Benutzernamen eines Administrators, genügt es, im Authorization-Header ein beliebiges, frei erfundenes Passwort per Basic Authentication mitzusenden. Das Plugin akzeptiert die Anfrage und behandelt den Angreifer für die Dauer dieser Anfrage als den betreffenden Administrator. Auf diese Weise verschafft er sich administrative Rechte, ohne ein gültiges Passwort zu besitzen. Da Administratorkonten in WordPress weitreichende Kontrolle über die gesamte Website besitzen, ermöglicht der Defekt eine vollständige Rechteausweitung allein durch Kenntnis eines Benutzernamens.