קוד עוין הושתל ביוטיוב, MetaFilter, בנק ING ואתר ניו יורק טיימס. הקוד איפשר לפורצים לחטוף גולשים לאתרים אחרים תוך כדי הגלישה ולחלוב מהם פרטים מבלי שירגישו. במקרה של הבנק הדבר חמור במיוחד משום שהם ביצעו העברות מחשבון לחשבון.
חוקרים מאוניברסיטת פרינסטון חשפו ארבעה אתרים החשודים שהמידע המוכנס לתוכן מועבר לאתרים אחרים באורח שקט cross-site request forgery (CSRF). בין האתרים הללו אתר של חברת הביטוח INGDirect.com ולאפשר לתוקפים להעביר כספים מחשבון הבנק של הקורבן.
ארבעת האתרים - ING, יוטיוב ו- MetaFilterתיקנו את הפגיעויות הללו לאחר ההתראה שקיבלו מהחוקרים, אך הרביעית - אתר הניו יורק טיימס עדיין מכיל את תוכנת ה- CSRFבאתר שלהם, דבר שמאפשר לתוקפים לנצל את כתובות המייל של הנרשמים המקוונים באתר.
ביל זייצר, דוקטורנט בפרינסטון, אמר כי באג ה-CSRF, ועמיתו אדוארד פלטון מצאו את הבאג ב-ING, אחד הגילויים הראשונים של באג זה באתר של בנק. "זו הדוגמה הראשונה שניתן ב-CSRF להעביר כסף מחוץ לחשבון בנק שאנו מודעים אליה" אמר זלר.
באג ה- CSRF באתר של ING עלול לאפשר לתוקף להעביר כספים מחשבון הקורבן לחשבון אחר שהתוקף פותח בשמו של המשתמש ללא ידיעתו. אפילו שימוש בקישור מאובטח SSL לא יגן על המשתמש מפני מתקפה כזו, אומרים החוקרים. זאת מאחר ש-ING לא היתה מוגנת כלפי התקופים העברת הכספים מחשבון לחשבון היתה חיקוי של הצעד הרגיל של העברה בנקאית. כותבים זלר ופלטון.
במתקפת CSRF, התוקף מכריח את הדפדפן של המשתמש לבקש דף או פעולה בלא ידיעת המשתמש, ושהאתר לא מזהה שהבקשה לא הגיע מהלקוח הלגיטימי. CSRF בקושי מוכר לקהילת מפתחי האתרים ולפיכך באג זה נחשב לפגיעות נפוצה באתרים. "CSRF הוא באג נפוץ. היכן שלא נסתכל הוא נמצא" אמר ג'רמייה גרוסמן, ה-CTO של ווייטהאט.
ביוטיוב איפשר באג דומה לפורצים להוסיף סרטים לרשימת הפייבוריטים של המשתמש ולשלוח מסרים בשמו. הבאג באתר הבלוגים מטהפיילר מאפשר לתוקפים לשלוח אימייל מהמשתמש אליהם ולאחר מכן הם יכולים להשתלט על חשבון המשתמש.