Die Schwachstelle betrifft das WordPress-Plugin WP Maps Pro. Sie erlaubt eine Rechteausweitung, indem ein Angreifer ein neues Administratorkonto anlegt. Ursache ist eine als öffentlich zugänglich registrierte AJAX-Aktion (wpgmp_temp_access_ajax), die auch ohne Anmeldung aufgerufen werden kann und nur durch eine Nonce-Prüfung abgesichert ist. Diese Nonce wird jedoch auf jeder öffentlichen Seite des Frontends im Quelltext mitgeliefert und ist damit für jeden einsehbar – die Prüfung taugt deshalb nicht als Zugangskontrolle. Dadurch kann ein nicht angemeldeter Angreifer aus der Ferne den zuständigen Handler aufrufen und so eine Prüfung umgehen, die das Anlegen eines temporären Zugangs verhindern soll. Es wird bedingungslos ein neuer Benutzer mit fest vorgegebener Administratorrolle erzeugt. Zurückgeliefert wird zudem eine spezielle Anmelde-URL: Wird sie aufgerufen, ist der Angreifer als frisch erstellter Administrator vollständig angemeldet. Im Ergebnis kann er die betroffene Website vollständig übernehmen.