Die Schwachstelle betrifft die Securly Chrome Extension, eine Browser-Erweiterung. Die Erweiterung stellt mehrere öffentlich erreichbare Schnittstellen (Endpunkte) bereit, auf die ohne jede Anmeldung zugegriffen werden kann. Über diese Endpunkte werden sensible Daten preisgegeben: konkret SHA-1-Hashwerte. Diese Hashes sind nur unzureichend verschleiert, nämlich mit einer einfachen Caesar-Verschiebung, bei der jedes Zeichen lediglich um eine feste Stelle verschoben wird. Eine solche Verschleierung lässt sich trivial rückgängig machen, sodass ein Angreifer die ursprünglichen Hashwerte mühelos wiederherstellen und damit auf die eigentlich geschützten Daten zugreifen kann. Da die Endpunkte ohne Authentifizierung offenstehen, genügt der bloße Aufruf, um an die Informationen zu gelangen – es sind weder Zugangsdaten noch besondere Rechte erforderlich. Betroffen sind die durch diese Hashes geschützten Daten der Nutzer der Erweiterung.