Mit Hilfe eines manipulierten Cookie soll es Angreifern der Meldung zufolge möglich sein, ohne Benutzerkennung und Passwort in den Administrationsbereich des Blogsystems zu gelangen, von wo aus sie Zugriff auf sämtliche Inhalte und Funktionen des jeweiligen Wordpress-Systems erhalten. Vom Verfassen eigener Inhalte über die Installation von Malware bis zum kompletten Löschen aller Beiträge stehen Angreifern dann alle Möglichkeiten offen.
Nur geringfügig harmloser ist die zweite Lücke: Eingaben, die an einen unspezifizierten Parameter übergeben werden, werden ungeprüft zurückgegeben. Damit lässt sich beliebiger HTML- und Script-Code auf den Rechnern der Besucher ausführen.
Beide Lücken betreffen Wordpress-Versionen bis Versionsnummer 2.5. Ein Update auf die inzwischen erschienene Version 2.5.1 ist daher dringend empfehlenswert.