นักวิจัยจาก Wordfence Threat Intelligence ระบุว่า WP Statistics ซึ่งเป็น plugin ซึ่งถูกพัฒนาโดย VeronaLabs มีช่องโหว่ Time-Based Blind SQL injection ซึ่งทำให้ผู้โจมตีสามารถโจมตีผ่านช่องโหว่โดยไม่ต้องมีการยืนยันตัวตนได้ ช่องโหว่ที่ถูกโจมตีสามารถใช้เพื่อดึงข้อมูล Sensitive information จากเว็ปไซต์ที่ถูกพัฒนาด้วย WordPress และมีช่องโหว่จาก plugin ดังกล่าว โดยช่องโหว่ที่พบได้ระดับความรุนแรงจาก CVSS ถึง 7.5 (ความรุนแรงสูง) และมีผลกับปลั๊กอินเวอร์ชันก่อนหน้า 13.0.8 ซึ่งปัจจุบันมีการถูก Download ไปใช้งานแล้วมากกว่า 600,000 ครั้ง

การเข้าถึง เมนู “Page” บน WP Statistics ข้อมูล Statistics ซึ่งโดยปกติแล้วควรจะเข้าถึงได้เฉพาะผู้ดูแลระบบ ที่ใช้ในการเข้าชมสถิติของเว็บไซต์ของตนเอง แต่นักวิจัยค้นพบว่าหากมีการใข้คำสั่ง SQL ที่ถูกสร้างขึ้น ก็ทำให้ไม่จำเป็นต้องมีสิทธิ์แอดมินก็สามารถเข้าถึงเมนูดังกล่าวได้

นักวิเคราะห์จาก Wordfence ระบุว่าแม้เมนู Page จะไม่แสดงข้อมูลแก่ผู้ใช้ที่ไม่ใช่ผู้ดูแลระบบ แต่สามารถเรียกใช้งานหน้านี้ได้โดยส่งคำขอไปยัง wp-admin/admin.