Üritus kasutab kompromisseeritud npm-pakette ja manipuleeritud GitHub-tavasid tokende ja juurdepääsuandmeid CI/CD-keskkondadest ja arendajate säilitutest otse välja tooma.
Väliseid sisuviiteid, mida standardskannerid ei valideeri, kasutades suutsid teadlased pääseda ligipääsu juurde üle 26 000 autonoomsele agendile võlts KI-laienduste ja Instagrami kuulutuste kaudu.