Die Schwachstelle steckt im Avada-(Fusion-)Builder, einem Plugin für WordPress. Ursache ist eine unzureichende Prüfung von Dateipfaden in der für das Löschen von Dateien zuständigen Funktion. Dadurch kann ein Angreifer aus der Ferne und ohne Anmeldung beliebige Dateien auf dem Server löschen. Wird dabei eine zentrale Datei wie die Konfigurationsdatei der WordPress-Installation entfernt, lässt sich daraus leicht eine Ausführung von Schadcode auf dem Server ableiten. Voraussetzung ist ein veröffentlichtes Avada-Formular, das Einträge in der Datenbank speichert. Über die Schnittstelle zur Formularübermittlung reicht der Angreifer einen Eintrag mit einem manipulierten Pfad (Path-Traversal) ein und steuert zugleich die Felder für Aufbewahrungsdauer und Datenschutz-Aktion so, dass eine sofortige Löschung erzwungen wird. Eine über das Plugin beim Beenden der Anfrage laufende Aufräumroutine verarbeitet den Eintrag dann automatisch – ganz ohne Zutun eines Administrators.