De mannen achter Exploited hebben ontdekt dat vBulletin een kritieke bug bevat met betrekking op de controle of iemand moderator of administrator is.
De bug, welke per toeval ontdekt is, zorgt ervoor dat kwaadwillende code kunnen uitvoeren op de website wanneer zij de link naar een bepaalde actie weten. Deze zetten ze in een iFrame op hun eigen website. Wanneer een administrator of moderator vervolgens de desbetreffende website bezoekt zal de actie uitgevoerd worden die in opgegeven is in de iFrame.
De bug is mogelijk doordat vBulletin geen goede controle uitvoert op de rechten die aanwezig zijn. Er is dus geen PHP-check of HTML-check aanwezig op bijvoorbeeld de bron van code.
vBulletin heeft nog niets vrijgelaten over de bug. De verwachting is echter wel dat vBulletin de bug oplost in een volgende versie.