Die Schwachstelle ist eine reflektierte Cross-Site-Scripting-Lücke (Reflected XSS) im Parameter error_description. Eingaben, die über diesen Parameter übergeben werden, gelangen ungefiltert in die zurückgegebene Webseite und werden dort als ausführbarer Skriptcode im Browser des Opfers interpretiert. Ein Angreifer präpariert dazu einen entsprechenden Aufruf und bringt das Opfer dazu, ihn aufzurufen; der eingeschleuste Code läuft anschließend im Sicherheitskontext der betroffenen Anwendung. Besonders bemerkenswert ist, dass sich eine vorgeschaltete Web Application Firewall (WAF) umgehen lässt: Der Angriff nutzt eine speziell auf den Browser Safari zugeschnittene Variante über das onpagereveal-Ereignis, die von den Filterregeln der WAF nicht erkannt und damit nicht blockiert wird. Dadurch greift der vermeintliche Schutz durch die Firewall in diesem Fall nicht. Über die eingeschleusten Skripte kann ein Angreifer etwa Sitzungsdaten abgreifen, Aktionen im Namen des Opfers auslösen oder Inhalte der Seite manipulieren.