Menurut Mullenweg, worm tersebut cukup sulit untuk dideteksi, karena teregister sebagai user, kemudian menggunakan sebuah bug keamanan yang pernah diperbaiki tahun lalu untuk memudahkan evakuasi kode agar dapat dieksekusi melalui struktur permalink.

Worm yang mengaku sebagai user tersebut juga menyamar sebagai admin, kemudian menggunakan JavaScript untuk menyembunyikan dirinya ketika user lain melihat halaman blog tersebut. Setelah user mengunjungi blog samaran tersebut, worm itu akan membersihkan dirinya, lalu berjalan secara tersembunyi sementara dirinya menyembunyikan spam dan malware ke posting lama user.

Kelemahan WordPress tersebut ditemukan tanggal 11 Agustus, dan WordPress menyarankan user untuk segera meng-upgrade ke versi 2.8.4. Namun, belum banyak user yang meng-upgrade dan menurut Mullenweg, progress worm tersebut semakin meningkat per jamnya. Worm tersebut tidak menginfeksi WordPress versi 2.8.4, dan hanya menginfeksi ke blog WordPress yang dimiliki user. Sedangkan host WordPress.com tidak terinfeksi worm ini. Untuk upgrade blog user WordPress dapat langsung ke link berikut http://codex.wordpress.org/Upgrading_WordPress.

Aktivitas keenam aplikasi tersebut, menurut Ferguson, dimulai di minggu ini dengan adanya notifikasi dari sebuah aplikasi benama “sex sex sex and more sex!!!”, yang memiliki 287,000 fans. Notifikasi tersebut berisi bahwa seseorang telah mengomentari postingan tersebut. Ferguson menambahkan, aplikasi tersebut tidak ‘jahat’ dan mungkin justru digunakan untuk mendistribusikan spam.

Notifikasi pertama berupa hyperlink yang kemudian mengarah ke situs phishing di domain “fucabook.com”, yang teregister atas nama seseorang di Armenia. Setelah user memberikan informasi loginnya, maka user akan diarahkan langsung ke Facebook dan sebuah instalasi aplikasi bernama “Posts“. Ketika diinstal, aplikasi tersebut akan mengirimkan spam kepada teman user dengan notifikasi “Profile_name has sent you a message”, dengan tambahan hyperlink ke situs phishing yang sama. Namun, kemudian hyperlink tersebut kemudian diarahkan ke alamat IP yang simple, bukan ke domain “fucabook.com” tersebut.

Menurut Ferguson, semua aplikasi tersebut beraksi sama seperti aplikasi lainnya, termasuk untuk perlakuan ke iklan. Sementara pihak Facebook belum berkomentar lebih lanjut dan berjanji akan mencari inti masalahnya. Ferguson menyarankan kepada pengguna Internet, untuk selalu mengecek URL yang tertampil di address bar browser sebelum memasukan informasi penting ke situs tersebut dan menekan mouse ke hyperlink untuk melihat URL. Pengguna Facebook juga harus me-reviwe setting privacy secara rutin dan menghapus aplikasi yang sudah tidak digunakan, tambahnya.