Несмотря на то, что с момента обнаружения уязвимости в Timthumb, популярном дополнении к WordPress, прошло три месяца, исследование компании Avast показало, что темп заражения уязвимых сайтов вредоносным ПО продолжает оставаться на высоком уровне. В сентябре было поражено около 2500 сайтов, через которые злоумышленники пытались эксплуатировать клиентские машины с целью внедрения вредоносного ПО, используемого для рассылки спама, участия в DDoS-атаках и совершения других неподконтрольных пользователю действий. В октябре темп заражения сохранился на прежнем уровне, что свидетельствует о том, что многие пользователи блогов совершенно не заботятся о безопасности и не следят за появлением критических обновлений.

После эксплуатации уязвимости в дополнении Timthumb, поставляемом в комплекте с некоторыми визуальными темами и используемом для изменения размера фотографий, для поражения машин клиентов устанавливается стандартный набор Windows-эксплоитов Black Hole. Поражение сайта можно определить по появлению подозрительного кода в JavaScript-файлах, например, в ./wp-content/w3tc/min/a12ed303.925433.js или ./wp-includes/js/l10n.js. Black Hole включает в себя около десяти разных эксплоитов, половина из которых направленны на поражение Java-плагина. В случае наличия у посетителя необновленной версии одного из эксплуатируемых компонентов, на машину скрыто устанавливалось троянское ПО. Для активации вредоносного ПО не требуется выполнение каких-либо действий, достаточно было просто открыть в браузере страницу.