Theo báo cáo của Shreateh, lỗi này tồn tại trên tập tin composer.php. Và anh đã thử khai thác lỗi bằng cách đăng một bài viết lên Timeline của cô gái có tên Sarah Gooden, đây là một người đã học cùng trường đại học với CEO Facebook, Mark Zuckerberg.
Điều đáng nói là nhóm bảo mật của Facebook đã không nhận ra lỗi này ngay khi có báo cáo đầu tiên từ Shreateh. Theo đó, Shreateh cho biết, anh đã thông báo tới Facebook, kèm theo cả đoạn video ghi lại quá trình anh khai thác lỗi, nhưng chỉ nhận được câu trả lời “Xin lỗi, đây không phải là một lỗi”. Cho đến khi Shreateh tận dụng lỗi này để đăng tải một bài viết lên chính Timeline của Mark Zuckerberg thì anh mới nhận được phản hồi, yêu cầu gửi cho họ mọi thông tin về lỗi mà anh phát hiện được.
Một đoạn mã trong quá trình khai thác lỗi.
Sau khi sửa code, Shreateh sử dụng chế độ đăng bài lên trang cá nhân của mình, nhưng thực tế bài viết sẽ lên Timeline của nạn nhân.
Sau khi nhận được báo cáo đầy đủ của Shreateh, một kỹ sư bảo mật của Facebook đã xác nhận đây là một lỗi, nhưng nói thêm rằng, Shreateh sẽ không được trả thưởng vì hành động của anh ấy đã vi phạm các điều khoản bảo mật của trang web. Trước đây, Facebook từng công bố sẽ tặng ít nhất 500USD cho người phát hiện được lỗi còn tồn tại trên dịch vụ này, nhưng có điều kiện là không được công khai thông tin về lỗi đó.
