Die Schwachstelle betrifft das WordPress-Plugin WP Ticket und ermöglicht eine SQL-Injektion. Ursache ist die Verarbeitung des Suchbegriffs, den Besucher über die front-seitige Suchfunktion eingeben. Das Plugin klinkt sich in die Datenbankabfrage der WordPress-Suche ein und fügt für unangemeldete Suchanfragen eine eigene Unterabfrage hinzu. Dabei übernimmt es den eingegebenen Suchtext direkt und ungeprüft in eine SQL-LIKE-Bedingung – ohne ihn zu maskieren oder über die vorgesehene sichere Aufbereitung von Datenbankabfragen zu führen. Erschwerend kommt hinzu, dass die normalerweise greifende Schutzfunktion an dieser Stelle bereits entfernt wurde. Dadurch kann ein Angreifer aus der Ferne und ohne Anmeldung über das Suchfeld eigene SQL-Befehle an die bestehende Abfrage anhängen. So lassen sich vertrauliche Inhalte der Datenbank auslesen, etwa Benutzerdaten oder andere geschützte Informationen. Betroffen ist jede WordPress-Seite, auf der das Plugin mit aktiver Suchfunktion eingesetzt wird.