Ez a biztonsági rés a támadók számára lehetővé tette, hogy kijátszva és megkerülve a beépített, PDF kezelésért felelős biztonsági policyt távoli JavaScriptet futtassanak le. A CVE-2015-4495 sérülékenységet kihasználva a támadók fájlokat tudtak olvasni, illetve írni az adott számítógépen, valamint ezeket fel tudták tölteni egy távoli szerverre.

Néhány esetben a manipuláció hatására a fertőzésre figyelmeztető hibaüzenet is megjelenhetett a felhasználók képernyőjén, amely szerint az adott PDF állomány nem jeleníthető meg szabályosan.

Az első, a Microsoft Windows és a Linux platformok elleni kártevő hullám után a második verzióban a támadók a Linuxos kódot alakították át úgy, hogy az már a Macintosh rendszereken is fusson. A kártevő változatok fő célja azonban minden esetben az volt, hogy az operációs rendszerenként egyedileg különböző beállításokat, jelszavakat tartalmazó fájlokat összegyűjtse, és egy távoli szerverre feltöltve azokat ellopja.

Így többek közt a Windows alatt futó változat a népszerű FTP, az SSH, illetve azonnali üzenetküldő kliens programok jelszavait is ellopta, míg a Linux variáns az alábbi útvonalakon található állományokra vadászott:
/etc/passwd
/etc/hosts
/etc/hostname
/etc/issue


Az ESET biztonsági kutatói a fertőzött szerverek listáját is nyilvánosságra hozták, ezek egy része Oroszországban, illetve Kirgizisztánban volt beregisztrálva. Az ukrán hatóságok pedig megerősítették, hogy a támadásban olyan szerverek is résztvettek, amelyeket Ukrajnában hosztoltak.

hxxp: //www.akipress.org/
hxxp: //www.tazabek.kg/
hxxp: //www.super.kg/
hxxp: //www.rusmmg.ru/
hxxp: //forum.cs-cart.com/
hxxp: //www.searchengines.ru/
hxxp: //forum.nag.ru/

A Mozilla augusztus 6-án kiadta a hibajavított 39.0.3-as verziót, amit a Windows felhasználók automatikusan, kézzel vagy pedig valamilyen (például Secunia PSI) patch menedzser program segítségével is frissíthetnek. Aki Linuxot használ, annak is csak pár napot kellett várnia, amíg a különböző disztribúciók hivatalos tárolói is végre megkapták előbb a 39.0.3, később pedig Linuxra a 40.0.0, Macintoshra és Windowsra pedig a 4.0.2 javított verziót.

Bár mindenkinek erősen javasolt az új programverziókra való áttérés, létezik egy átmeneti "workaround" megoldási mód is, ehhez pedig mindössze a Firefox beépített PDF olvasóját szükséges letiltani a "pdfjs.disabled" opció "igaz" értékre való beállítás segítségével.

A részletes elemzés azt mutatta, hogy a malware szerzői igen alaposan ismerték a Firefox belső működését, így sikerülhetett olyan script kártevőt készíteniük, amely nem csak a fertőzést, hanem egyúttal magát az adatlopást is végre tudta hajtani.