A vulnerabilidade designa-se por CVE-2018-6177, e aproveita-se de uma falha nas tags de áudio e vídeo HTML que afeta todos os browsers que tenham o "Blink Engine", entre os quais está o Chrome.

Todos os browsers possuem um mecanismo de segurança que impede um site de ler o conteúdo de outros sites sem permissão - Cross-Origin Resource Sharing, ou CORS. Porém, segundo o que investigadores descobriram, dado que estas tags HTML não validam o tipo de conteúdo ou rejeitam as respostas com tipos MIME (Extensões multi função para mensagens da Internet) inválidos, um atacante pode usar múltiplas tags escondidas num site para fazer pedidos de posts do Facebook.

Apesar de não se poderem ver os posts do Facebook de forma direta, o atacante consegue ver por exemplo o tamanho das fontes ou número de pedidos que vieram do Facebook se conseguir fazer com que o visitante visite um site especialmente criado para o efeito. E faz essas medidas através de controladores ou mecanismos de Javascript.

Por causa desta e de outras vulnerabilidade, é recomendado aos users que atualizem os seus browsers o mais rapidamente possível