Nhà nghiên cứu bảo mật Egidio Romano, người phát hiện ra lỗ hổng, cho biết vấn đề nằm trong tệp /app/system/weixin/include/class/weixinreply.class.php. Tại đây, dữ liệu đầu vào từ người dùng liên quan đến API Weixin (WeChat) không được lọc và chuẩn hóa đầy đủ, tạo điều kiện để chèn mã PHP độc hại. Khi hệ thống xử lý các yêu cầu này, mã độc có thể được thực thi trực tiếp trên máy chủ.
Trong một số cấu hình triển khai, đặc biệt là trên hệ điều hành không phải Windows, việc khai thác còn phụ thuộc vào sự tồn tại sẵn của thư mục /cache/weixin/. Thư mục này thường được tạo ra khi cài đặt và cấu hình plugin WeChat chính thức, vô tình trở thành một điều kiện hỗ trợ cho quá trình tấn công.
Đến ngày 1/5/2026, mức độ hoạt động tăng mạnh và có dấu hiệu chuyển hướng tập trung vào các địa chỉ IP tại Trung Quốc và Hong Kong. Dữ liệu quan sát cho thấy khoảng 2.000 hệ thống MetInfo CMS đang được công khai trên Internet, phần lớn tập trung tại Trung Quốc, làm gia tăng nguy cơ bị khai thác diện rộng.
Các chuyên gia nhận định, việc một CMS phổ biến bị khai thác nhanh sau khi công bố lỗ hổng cho thấy tốc độ vũ khí hóa ngày càng rút ngắn của các nhóm tấn công. Điều này đặc biệt đáng lo ngại với những hệ thống còn tồn tại trên Internet nhưng chưa được cập nhật bản vá kịp thời.
Giới nghiên cứu khuyến cáo các quản trị viên hệ thống sử dụng MetInfo CMS cần kiểm tra ngay phiên bản đang vận hành, áp dụng bản vá mới nhất từ nhà phát triển, đồng thời rà soát các dấu hiệu bất thường trong log máy chủ để phát hiện sớm nguy cơ bị xâm nhập.
