PHP-funktionen unserialize() kan leda till sårbarheter för "PHP Object Injection" om den bearbetar otillförlitlig användarinmatning, vilket kan tillåta angripare att manipulera objektsegenskaper och potentiellt utföra godtycklig kod eller läsa filer. WordPress-versioner, inklusive 3.6, visade sig vara sårbara för denna typ av attack, särskilt genom Man-in-the-Middle (MITM)-attacker på svar från wordpress.org eller genom att manipulera serialiserad användarmetadata lagrad i databasen. Artikeln beskriver hur WordPress-funktionerna maybe_un[[serialize()]] och maybe_serialize(), tillsammans med is_serialized(), försöker hantera serialisering men ändå kan utgöra potentiella attackvektorer på grund av problem med dubbel serialisering. PHP:s referensmanual varnar uttryckligen för att inte skicka otillförlitlig användarinmatning till unserialize(), och rekommenderar istället JSON för datautbyte.