Do ataku może dojść gdy nieświadomy użytkownik odwiedzi spreparowaną stronę WWW na której zaimplementowano specjalny kod javascript. Funkcja autouzupełniania działa dopiero gdy użytkownik poda pierwszą literę słowa wprowadzanego do formularza. Specjalny skrypt na fałszywej stronie podaje losowe znaki w typowych polach formularzy takich jak nick, imię, nazwisko, e-mail, numer karty kredytowej, itd. Gdy przeglądarka uzupełni pole do pełnego wyrazu skrypt analizuje jego zawartość.
Dodatkowo w połączeniu z techniką Cross-Site Scripting błąd może być wykorzystany w przeglądarkach Google Chrome i Mozilla Firefox. Jeremiah Grossman zamierza zaprezentować szczegóły ataku z wykorzystaniem tej luki podczas konferencji Black Hat w Las Vegas.
Źródło: theregister.co.uk