En anglais, le message incriminé appelle l'internaute à aller découvrir un « blog marrant », mais le conduit en réalité vers une page destinée à lui faire croire qu'il a été déconnecté de Twitter. Logiquement, la victime est alors censée chercher à se reconnecter, et donc à saisir ses identifiants. La page contrefaite est aisément reconnaissable à son URL, qui se présente sous la forme « access-login.twitter.com », une adresse-type un temps utilisée pour piéger les internautes adeptes de Facebook.
Une fois recueillies par les pirates, ces coordonnées pourraient selon les responsables du service être utilisées pour déclencher des campagnes de « spam » par le biais de la fonctionnalité « messages directs » de Twitter.
