Die Schwachstelle betrifft das WordPress-Plugin WP Review Slider Pro und ermöglicht eine SQL-Injection. Sie sitzt im Handler einer AJAX-Aktion, die Diagrammdaten ausliefert: Zwei darüber übergebene Parameter werden als JSON entgegengenommen und vor dem Decodieren mit stripslashes() von ihrer Maskierung befreit – genau jener Maskierung, die WordPress zuvor zum Schutz angebracht hatte. Die so entschärften Werte fließen anschließend ungefiltert und ohne Parametrisierung direkt in die WHERE-Bedingungen einer SQL-Abfrage und werden ohne die übliche Absicherung gegen Einschleusung ausgeführt. Dadurch kann ein angemeldeter Angreifer bereits mit einer niedrigen Benutzerrolle (Abonnent oder höher) eigene SQL-Anweisungen an die bestehende Abfrage anhängen und vertrauliche Inhalte aus der Datenbank auslesen. Erschwerend kommt hinzu, dass der Handler die ausgeführte SQL-Zeichenkette in seiner Antwort zurückliefert, was die Ausnutzung auch bei blinder Vorgehensweise erheblich erleichtert.