В популярном плагине Formcraft - конструкторе форм для WordPress, существует уязвимость обхода ограничений веб-приложения для загрузки произвольных php файлов. Злоумышленники используют т.н. Google dork для поиска уязвимых сайтов: "powered by Formcraft". Признаком наличия уязвимости является вывод {"failed":"No file found 2"} по адресу target.com/wp-content/plugins/formcraft/file-upload/server/php/upload.php.

Уязвимость связана с недостаточной фильтрацией входящих данных. С помощью специализированного  CSRF скрипта атакующий может загрузить php-файл c произвольным содержимым:
<form method=«POST" action=«target.com/wp-content/plugins/formcraft/file-upload/server/php/upload.php»
enctype=«multipart/form-data»>
<input type=«file» name=«files[]» /><button>Upload</button>
</form>

С помощью этой формы можно загрузить произвольный php-файл, к названию которого будет добавлен произвольный код вида: 154df070a157db---shell.php (после аплоада название файла будут выведено в теле страницы. После этого атакующий может воспользоваться залитым веб-шеллом по адресу: target.com/wp-content/plugins/formcraft/file-upload/server/php/files/154df070a157db---shell.php. Стоить учитывать, что загружаемый файл может иметь множество исполняемых расширений php.

Использование Web Application Firewall позволяет блокировать подобные атаки.