De kwetsbaarheid maakt gebruik van zwakke beveiliging in PHPMailer, een script dat veel websites gebruiken voor contactformulieren. Het probleem werd ontdekt door beveiligingsonderzoeker Dawid Golunski, volgens wie ongeveer 9 miljoen websites gebruikmaken van het script.
PHPMailer controleert volgens Golunski niet of een e-mailadres gebruikt in een formulier klopt. Dit stelt bijvoorbeeld hackers via een omweg in staat om hun eigen code uit te voeren op de server van een site.
Het lek is in de nieuwste update voor het mailscript volgens de ontwikkelaars gedicht, maar websites moeten deze update installeren voordat ze goed zijn beveiligd. Onderzoeker Kevin Beaumont beweert dat de update het probleem niet correct heeft opgelost. Het is volgens hem mogelijk de oplossing te omzeilen en code alsnog uit te voeren.
Grote blogplatformen zoals WordPress en Drupal gebruiken PHPMailer en hebben een waarschuwing verstuurd naar websitebeheerders. Ook Joomla maakt gebruik van het script.
De ontdekker van het lek zegt dat hij op een later moment wil beschrijven hoe de aanval precies uitgevoerd kan worden. Hij wil websitebeheerders eerst de tijd geven het lek te dichten.