Die Schwachstelle betrifft die Securly-Erweiterung für den Browser Chrome. In deren ausgelieferter, zusammengefasster JavaScript-Datitei (securly.min.js) sind AES-Schlüssel fest einkodiert und liegen dort im Klartext vor – jeder, der die Erweiterung installiert hat, kann diese Passphrasen also unmittelbar aus dem Programmcode auslesen. Mit diesen Schlüsseln lassen sich verschlüsselte Inhalte der Erweiterung entschlüsseln, konkret die Stichwortlisten für die Erkennung von Krisensituationen sowie die Daten zu Interventionsseiten. Ein Angreifer erhält dadurch Einblick in eigentlich geschützte Steuerungsdaten der Schutzfunktion: Er erfährt, auf welche Schlüsselwörter die Erweiterung anschlägt und welche Seiten als kritisch behandelt werden. Dieses Wissen erlaubt es, die Erkennungs- und Schutzmechanismen gezielt zu umgehen. Da die Schlüssel statisch im Code stehen, sind sie über alle Installationen hinweg identisch.