Problém zaznamenala společnost Armorize v pondělí odpoledne, ale je možné, že infekce zde byla již nějakou dobu předtím. Hackeři nainstalovali na stránky javascriptový kód, který zneužíval široké spektrum známých útoků na webové prohlížeče (zejména prostřednictvím neopravených chyb) a zaměřoval se také na zranitelné verze populárních aplikací Adobe Flash, Reader a Java. Existující zranitelnost v některé z uvedených aplikací pak mohla vést k nakažení uživatelského PC.
Odstranění problému pak nastalo ve večerních hodinách, jak potvrdil i CEO společnosti Armorize Wayne Huang. Není ale jasné, zda byla záplatována i zranitelnost, kterou útočníci k průniku zneužili. Huang také potvrdil, že útočníci využili na stránkách MySQL.com tzv. Black Hole exploit kit, ale není ještě přesně známo jaké, jaký typ škodlivého softwaru byl instalován na počítače uživatelů. Také společnost Oracle, která projekt MySQL spravuje, stále situaci vyšetřuje a nepodala k ní žádné bližší informace.
Web MySQL.com je oblíbeným cílem útočníků, zejména díky svojí vysoké návštěvnosti a již v minulých měsících byl několikrát zasažen útokem. Například v březnu hackeři po zdařilém útoku na MySQL.com zveřejnili seznam uživatelských jmen a hesel, které pak mohly být podle Maxima Goncharova, bezpečnostního výzkumníka ve společnost Trend Micro, využity pro další prolomení ochrany. Na ruském „undergroundovém“ fóru pak například hacker s přezdívkou sourcec0de nabízel možnost přístupu do kořenového adresáře webu MySQL.com za cenu 3000 dolarů. Zveřejnil dokonce screenshoty, které možnost tohoto přístupu potvrzují, takže nelze vyloučit, že pro pondělní útok byla využita právě jeho technika.
Také organizace Linux Foundation byla nucena v minulých týdnech dočasně odstavit několik svých webových serverů, včetně Kernel.org a Linux.com kvůli jejich kompromitaci.