ข้อมูลที่อาจถูกเปิดเผยรวมถึง bcrypt password hashes, session secrets และที่สำคัญที่สุดคือ กุญแจ Admin API การเข้าถึงกุญแจเหล่านี้เปรียบเสมือนการเปิดประตูบานใหญ่ไปสู่ Ghost Admin API ซึ่งให้สิทธิ์เต็มรูปแบบในการสร้างและแก้ไขโพสต์ เพจ และเนื้อหาต่างๆ ของเว็บไซต์
แพตช์แก้ไขถูกปล่อยออกมาอย่างเงียบๆ ใน Ghost เวอร์ชัน 6.19.1 แต่ผู้ดูแลระบบจำนวนมากไม่ได้อัปเดต ซึ่งทำให้เว็บไซต์ของพวกเขายังคงเสี่ยงต่อการถูกโจมตี
แคมเปญนี้ถูกค้นพบในเดือนพฤษภาคม 2026 โดยทีมนักวิจัยภัยคุกคามจาก XLab ของ Qianxin ซึ่งตรวจพบว่าได้แพร่กระจายเข้าสู่กว่า 700 โดเมนแล้ว รวมถึงเว็บไซต์ที่มีชื่อเสียงอย่างสูง เหยื่อที่ได้รับการยืนยันแล้วรวมถึงพอร์ทัลของมหาวิทยาลัยฮาร์วาร์ด มหาวิทยาลัยออกซฟอร์ด มหาวิทยาลัยออเบิร์น และเครื่องมือค้นหา DuckDuckGo ที่เน้นความเป็นส่วนตัว
มีกลุ่มผู้โจมตีอย่างน้อยสองกลุ่มที่กำลังแข่งกันแย่งชิงเว็บไซต์ที่มีช่องโหว่เดียวกัน ในบางกรณี นักวิจัยพบว่า Ghost instance เดียวกันถูกแทรกโค้ดอันตรายของกลุ่มหนึ่ง ก่อนที่จะถูกอีกกลุ่มหนึ่งเข้ามาแทรกโค้ดซ้ำอีกในอีกไม่กี่ชั่วโมงต่อมา
JavaScript ที่ถูกแทรกเข้ามานั้นถูกทำให้มีขนาดเล็กโดยเจตนา ทำหน้าที่เป็น ตัวโหลดสองขั้นตอน ที่จะดึงชุดคำสั่งโจมตีจริงมาจากเซิร์ฟเวอร์ภายนอก เพย์โหลดที่ตรวจพบได้แก่:
เนื่องจากห่วงโซ่การโจมตีครอบคลุมทั้งการอ่านข้อมูลฐานข้อมูลและการแก้ไขเนื้อหาผ่านการรับรองตัวตน การแก้ไขจึงต้องจัดการทั้งตัวช่องโหว่เองและความเสียหายที่อาจเกิดขึ้นจากการบุกรุก
slug ที่ผิดปกติ รวมถึงกิจกรรมการอัปเดตจำนวนมากบนโพสต์ต่างๆ ตัวแพตช์ถูกปล่อยออกมาอย่างรวดเร็ว แต่การนำไปปรับใช้ต่างหากที่เป็นคอขวดเสมอ แคมเปญนี้เป็นเครื่องเตือนใจที่สำคัญว่าช่องโหว่ร้ายแรงใน CMS ไม่ได้หายไปหลังจากการเปิดเผยข้อมูล แต่มันกลายเป็นอาวุธ และผู้โจมตีจะมุ่งเป้าไปที่องค์กรที่ไม่ได้รับข่าวสารนั้นอย่างแข็งขัน