מטרת המבדק היא לאמוד את מידת הפגיעות של הארגון לחשיפות שמקורן בפערים במודעות עובדיו ולהעלות את מודעות העובדים לנקודות "כשל אנושי" אשר ניתנות לניצול על ידי תוקף לצורך עקיפת מערכות ההגנה על רשת המחשוב.

בנוסף, עצם קיום המבדק (החל משלב קבלת הודעות המייל ועד לאחר החשיפה כי היה מדובר במבדק) מעורר דיון נרחב בארגון, המעצים את המודעות לנושאי אבטחת מידע.

הבדיקה כוללת שליחת הודעת דואר אלקטרוני המדמה הודעה העלולה להישלח על ידי האקרים ולהכיל קישור לנוזקות (Malware); במידה והנמען פותח את הקישור הזדוני, בתנאים מסוימים, עלולה להיווצר הדבקה שתוביל לחדירה לרשת הארגונית. בנוסף (ובתיאום עם הלקוח), צוות הבדיקה יכול לנקוט בטכניקות תקיפה שונות שמטרתן להביא את המשתמשים למסור נתוני הזדהות רגישים למערכות ה-IT.
הדוח שמתקבל בסיום המבדק כולל פילוח של רמות החשיפה של הארגון לאיום (היקף הנמענים הארגוניים שפתחו את המכתב הזדוני, מי מהם לחץ על הקישורים שהופיעו בו, האם עובדי הארגון מסרו נתוני הזדהות רגישים במסגרת המבדק ועוד).

דוח Verizon לשנת 2014 ציין כי תקיפות מסוג זה, הפכו לאיום ה-3 בחומרתו בהיבטי אבטחת מידע. כפי שהוכח במקרים שאירעו בעבר (דוגמת הפריצות לענקית האבטחה RSA במארס 2011 ולרשות המס האמריקנית באוגוסט 2012), מספיק משתמש אחד ש"נפל ברשת" ההאקרים, בכדי ליצור נזק משמעותי ומתמשך לארגון ולנכסי המידע שלו.