در اولین بررسی‌های صورت‌گرفته که اطلاعات آن در مرکز ماهر (مدیریت امداد و هماهنگی رخدادهای رایانه‌ای) آمده، مشخص شده است اولین اقدام این برنامه مخرب، ذخیره کلیدهای تایپ‌شده در صفحات مهمی مانند صفحه login (ورود) در Wordpress CMS (مدیریت محتوای وردپرس) است. به علت اینکه این اسکریپت هم در frontend (طراحی وب) و هم در backend (توسعه‌ وب) سایت قربانی بارگذاری می‌شود، توانایی دزدیدن نام کاربری (username) و کلمه عبور (password) کاربران مدیر، هنگام ورود در بخش پنل مدیریت (admin panel) است.

این اسکریپت هنگامی خطرناک می‌شود که اجازه‌ی اجرا در بخش طراحی وب‌سایت قربانی را داشته باشد. زیرا در بسیاری از سایت‌های وردپرس، تنها جایی که می‌توان اطلاعات کاربر را دزدید بخش کامنت است و همچنین تنظیمات به گونه‌ای است که کاربران می‌توانند کامنت‌هایی در پایان مطالب درج کرده و آنها را ببینند، توسط این‌گونه اسکریپت‌های مخرب، نفوذگران می‌توانند اطلاعات حساس کاربران عادی را نیز مورد سرقت قرار دهند.

در بسیاری از این‌گونه سایت‌ها، به علت اینکه نفوذگر موفق شده اسکریپت مخرب خود را در فایل‌های اصلی مدیریت محتوای وردپرس (CMS) در بخش پوسته‌ها مخفی کند، امکان صحیح اجرا شدن اسکریپت مخرب برروی اکثر مرورگرهای قربانیان توسط اجرای دقیق آن در CMS وردپرس ممکن است.

کمپانی Sucuri اعلام کرده این اسکریپت تازگی نداشته و در گذشته هم سه اسکریپت مخرب دیگر را شناسایی کرده است. اولین اسکریپت مخرب در ماه آوریل توسط هکرهایی استفاده می‌شد که موفق به نفوذ در سرور سایت‌های تبلیغاتی شده بودند و اسکریپت را به صورت مخفیانه پشت بنرهای تبلیغاتی قرار می‌دادند.

در ماه نوامبر نیز مشخص شد که یک گروه دیگر با استفاده از یک تاکتیک جدید، فایل‌های جاوا اسکریپتی جعلی را آماده‌سازی کرده بودند که جهت استفاده از منابع سخت‌افزاری سیستم قربانیان، برای ساخت بیت‌کوین مورد استفاده قرار می‌گرفته و این اسکریپت مخرب روی بیش از ۱۸۳۳ سایت مشاهده شده بود.

محققان امنیت سایبری این کمپانی همچنین اعلام کردند با جستجوی اسکریپت‌های مخرب در فایل function.php در وردپرس و حذف آن، می‌توان از سرقت اطلاعات مهم احزار هویتی جلوگیری کرد.