Angreifer konnten durch eine Lücke in der OpenID-Erweiterung die Authentifizierung umgehen und sich mit Rechten eines anderen Nutzers am Content Management System anmelden. Das gelingt den Angaben zufolge jedoch nur, wenn sowohl Angreifer als auch Opfer eine OpenID vom gleichen Provider nutzen.

Bei der Standardinstallation ist die OpenID-Erweiterung deaktiviert und kann nur über einen Eingriff in die Systemkonfiguration aktiviert werden. Obwohl damit die Bedingungen für einen erfolgreichen Angriff recht umfangreich sind, stufen die Entwickler das Leck als kritisch ein. Mindestens ein großer OpenID-Anbieter soll auf diesem Wege die Angabe einer alternativen Identität ermöglichen.