พบข่องโหว่ร้ายแรงใน Core ของ WordPress 4.6 ทำให้สามารถถูกยึดเครื่องได้ง่ายดายโดยไม่จำเป็นต้องเข้าสู่ระบบแต่อย่างใด (Unauthentication) หากแต่เพียงเว็บไซด์ต้องสามารถเข้าถึงได้โดยไม่ใช้ domain name (Virtual Host) เท่านั้น

Dawid Golunski พบช่องโหว่ RCE ใน WordPress <= 4.6 โดยได้รับ CVE เป็น CVE-2016-10033 ช่องโหว่นี้เกิดจากในส่วนของการส่ง email ไปยัง user จะเป็นการดูจาก SERVER_NAME ที่ client ส่งมาให้ (ตัวอย่าง event ที่จะทำให้เกิดการส่ง email เช่น การ register user, การลืมรหัสผ่าน และอื่นๆ) ซึ่งช่องโหว่นี้จำเป็นต้องมี PHPMailer function ที่มีช่องโหว่ด้วย
โดยปกติค่า SERVER_NAME สามารถกำหนดได้ผ่าน HOST Header ทำให้หาก Hacker ส่ง request การลืมรหัสผ่านของ user admin ไปให้กับ Website เป้าหมาย แล้วกำหนด HOST Header เป็น domain ใดๆพร้อมกับการกำหนด comment ที่เป็น command เข้าไปต่อท้ายกับ domain เมื่อถูกส่งต่อไปทำงานด้วย PHPMailer function ที่มีช่องโหว่ก็จะทำให้เกิด Remote Code Execution ได้นั่นเอง

ตัวอย่างการ request
POST /wordpress/wp-login.