بر اساس گفته شرکت امنیتیِ Sucuri مهاجمان بین ۱۰ الی ۱۲ خط از کدهای آلوده را به پرونده‌ی header.php از زمینه وردپرس تزریق کرده‌اند. این کد وضعیت بازدید‌کننده را بررسی می‌کند و اگر این بازدید کننده یک «خزنده» مربوط به موتورهای جست‌و‌جو نباشد، آن‌ها او را به وبگاه‌های مختلف آلوده‌از طریق زنجیره‌ای از تغییر مسیرها هدایت می‌کنند که شامل دامنه‌های متعددی می‌شوند.
جای تعجب است که همه‌ی کاربران به وبگاه‌های آلوده تغییر مسیر پیدا نمی‌کنند. کدی که برای تزریق در وب‌گاه وردپرس طراحی شده است، برای تغییرمسیرهای تصادفی ساخته شده که در آن ۱۵ درصد احتمال دارد که کاربر تغییر مسیر داده شود. همچنین وبگاه‌های آلوده، یک کوکی نیز قرار می‌دهند تا بتوانند بازدیدکنندگان را برای یک سال ردیابی کنند.
اگر یک وبگاه‌ها آلوده، از طریق مرورگر اینترنت اِکسپلورر مورد دسترسی قرار گیرد، زنجیره‌ی تغییرمسیرها متفاوت خواهند بود و به کاربر یک بارگیرِ بدافزار به عنوان به‌روزرسانی جاوا و یا فلش ارائه خواهد شد. جرمی سگورا که یک تحلیلگر ارشد بدافزار در شرکت Malewarebyte است، گزارش می‌دهد که در این حمله، وبگاه‌های جعلی پشتیبانی فناوری به بازدیدکنندگان ارائه می‌شود.
جستجو برای رشته‌ی آلوده در پروند، در گوگل، ۶۰۰۰ نتیجه را در بر داشت؛ البته با توجه به اینکه نمایش متن PHP‌ در بسیاری از کارگزارها غیرفعال شده است تعداد واقعی وبگاه‌های آلوده به احتمال زیاد بسیار زیادتر هستند.
همچنین جستجو برای این رشته در گوگل نشان می‌دهد که کدهای آلوده در داخل پرونده‌ footer.php نیز در وبگاه‌های وردپرس تزریق شده‌اند. به نظر می‌رسد که مهاجمان در ماه آوریل تصمیم به تغییر روش حمله خود به سمت پرونده‌ی header.php گرفته‌اند، اما محققان دریافته‌اند که تزریق‌های footer.php پیچیدگی بیشتری دارند، چرا که کد آلوده نه تنها برای تغییر مسیر کاربران استفاده می‌شود، بلکه صفحات بالاپری (pop-up) را نیز ارائه می‌کند و نشانی‌هایی که به آن‌ها تغییر مسیر صورت می‌گیرد می‌توانند به راحتی توسط مهاجمان با ارسال درخواست به وب‌گاه آلوده به‌روزرسانی شوند.
دنیس سینگوبکو، محقق ارشد بدافزار در Sucuri می‌گوید: «در بسیاری از موارد، وبگاه‌های آلوده آسیب‌پذیری‌های متعددی دارند. خود آلودگی بخشی از سایر آلودگی‌های این محیط است (و یک رویداد منزوی) نیست. در برخی از موارد این آلودگی، تنها آلودگی موجود است و در درون پرونده‌ی header.php قرار دارد. این یک داستان مرسوم آلودگی است که در آن مهاجمان به رابط کاربری مدیریت وردپرس دسترسی پیدا می‌کنند و می‌توانند، زمینه موجود را ویرایش کرده و از آنجا تغییر مسیر دهند».
شایان ذکر است که همین کد آلوده در پرونده‌ی administrator/includes/help.php از وبگاه‌های جوملا نیز تزریق شده است، اما در آنجا تعداد انگشت‌شماری از وب‌گاه‌ها آلوده شده‌اند.
ماه گذشته، بخش امنیت شرکت آی‌بی‌ام به دارندگان وبگاه‌های وردپرس در مورد افزایش حملاتی که شامل وب‌شل c۹۹ می‌شوند، هشدار داده است. این شرکت گزارش داده است که در ماه‌های فوریه و مارس، ۱۰۰۰ حمله را مشاهده کرده است.
وردپرس از محبوب‌ترین سامانه‌های مدیریت محتوا است که توسط بسیاری افراد استفاده می‌شود، البته لزوماً همه‌ی کاربران وردپرس، حرفه‌ای نیستند و همین مسئله باعث می‌شود اغلب این وب‌گاه‌ها به‌روز‌رسانی نشوند و به همین دلیل خطرات بسیاری این وب‌گاه‌ها را تهدید می‌کند.