Dan Neidle beschrieb den Ablauf des Angriffs als denkbar einfach: Ein Nutzer musste sich lediglich mit den eigenen Zugangsdaten bei Companies House anmelden und das Dashboard des eigenen Unternehmens aufrufen. Anschließend wählte er die Option, für ein anderes Unternehmen einzureichen, und gab die Registernummer eines beliebigen der fünf Millionen erfassten Unternehmen ein.

An diesem Punkt verlangte das System einen Authentifizierungscode, über den der Nutzer nicht verfügte. Laut Neidle genügte es jedoch, mehrfach die Zurück-Taste zu drücken, um zum Dashboard zu gelangen – allerdings nicht zum eigenen, sondern zu dem des fremden Unternehmens. Er erklärte, die Lücke habe über fünf Monate hinweg die Daten von fünf Millionen registrierten Unternehmen offengelegt, einschließlich der Privat- und E-Mail-Adressen ihrer Führungskräfte.

Companies House bestätigte die Schwachstelle, nachdem der Einreichungsdienst wieder verfügbar war, und führte das Problem auf ein Update der WebFiling-Systeme im Oktober 2025 zurück. Ausnutzbar war der Fehler nach Angaben der Behörde nur durch angemeldete Nutzer. Diese hätten „einige Elemente der Daten eines anderen Unternehmens ohne dessen Zustimmung ändern" können. Zugleich betonte die Behörde, dass sich die Lücke nur dazu missbrauchen ließ, Daten und Firmeneinträge jeweils einzeln, Eintrag für Eintrag, abzurufen.

„Unsere Untersuchung hat ergeben, dass bestimmte Daten einzelner Unternehmen, die normalerweise nicht im Companies-House-Register veröffentlicht werden, für andere eingeloggte WebFiling-Nutzer sichtbar gewesen sein könnten", teilte die Behörde mit. Dazu zählten Geburtsdaten, Wohnanschriften und Firmen-E-Mail-Adressen. Möglich gewesen seien zudem unautorisierte Einreichungen, etwa von Jahresabschlüssen oder Änderungen bei der Geschäftsführung, im Datensatz eines fremden Unternehmens.

Nach Darstellung der Behörde wurden keine Nutzerpasswörter kompromittiert. Auch Daten aus dem Identitätsprüfungsverfahren, etwa Passinformationen, seien während der Anfälligkeit des Dienstes nicht abgerufen worden. Bereits eingereichte Dokumente wie Jahresabschlüsse oder Bestätigungserklärungen hätten nicht verändert werden können.

Companies House hat den Vorfall inzwischen dem Information Commissioner’s Office (ICO) und dem National Cyber Security Centre (NCSC) gemeldet und prüft, ob die Schwachstelle ausgenutzt wurde, um Unternehmensdaten einzusehen oder zu verändern. „Uns liegen zum gegenwärtigen Zeitpunkt keine Hinweise darauf vor, dass auf Daten ohne Erlaubnis zugegriffen oder diese verändert wurden", erklärte die Behörde. Die Untersuchung dauere jedoch an, und man werde weiter über den Fortgang berichten.