Die Schwachstelle betrifft das WordPress-Plugin „Kirki – Freeform Page Builder, Website Builder & Customizer". Sie liegt im Ablauf zum Zurücksetzen von Passwörtern. Fordert ein Nutzer ein neues Passwort über seinen Benutzernamen an, akzeptiert das Plugin eine beliebige, frei angegebene E-Mail-Adresse als Empfänger – statt den Link ausschließlich an die hinterlegte Adresse des Kontos zu senden. Dadurch kann ein nicht angemeldeter Angreifer den Zurücksetzungs-Link für ein beliebiges auf der Website registriertes Konto an seine eigene E-Mail-Adresse schicken lassen. Mit diesem Link setzt er das Passwort des fremden Kontos neu und übernimmt es vollständig. Greift er auf diese Weise ein Administratorkonto an, verschafft er sich erhöhte Rechte und damit die Kontrolle über die gesamte Website. Der Angriff erfordert weder gültige Zugangsdaten noch eine Mitwirkung des Opfers und lässt sich allein über die Funktion zum Passwort-Zurücksetzen auslösen.