Il est possible d’exécuter du code à distance sur un site WordPress vulnérable, sans le moindre identifiant, en enchaînant deux failles du cœur du CMS, wp2shell. Des preuves de concept sont déjà en circulation et les premières attaques réelles ont commencé. WordPress a imposé une mise à jour automatique d’urgence.