Die Schwachstelle betrifft die Verarbeitung des OAuth-Anmeldevorgangs. Beim Rückleiten des Nutzers nach der Authentifizierung wird in der sogenannten Callback-URL der Zustandsparameter (state) mitgeführt. In diesem Parameter sind personenbezogene Daten enthalten – konkret die E-Mail-Adressen der Nutzer –, die lediglich Base64-kodiert übertragen werden. Base64 ist keine Verschlüsselung, sondern nur eine reversible Umwandlung in eine andere Schreibweise, die sich ohne jeden Schlüssel und mit allgemein verfügbaren Mitteln wieder in den Klartext zurückwandeln lässt. Dadurch kann ein Angreifer, der diese URL einsehen kann, die enthaltenen E-Mail-Adressen auslesen. Solche Adressen sind schützenswerte personenbezogene Daten und können etwa für gezielte Phishing-Angriffe oder das Zuordnen von Konten missbraucht werden. Der Defekt liegt also darin, dass vertrauliche Nutzerdaten an einer einsehbaren Stelle des Anmeldeflusses nur scheinbar geschützt, tatsächlich aber offen mitgegeben werden.