Es handelt sich um eine DOM-basierte Cross-Site-Scripting-Lücke (XSS). Sie lässt sich laut Dede auch im Plug-in Jetpack nachweisen, das Werkzeuge für die Anpassung von WordPress, bessere Mobile-Kompatibilität und Traffic-Analysen ermöglicht. Beide verwenden nämlich ein Paket namens genericons.

Die Schwachstelle wird bereits ausgenutzt. Wie viele Sites anfällig sind, lässt sich schwer sagen, da unbekannt ist, wie viele Sites Twenty Fifteen einsetzen. Bei Jetpack sind es über eine Million Sites.