Au moyen d'une injection SQL, la faille permettrait d'obtenir des numéros de série, les identifiants d'administrateurs et de clients mais aussi et surtout leurs coordonnées bancaires. Le pirate a effectivement pu infiltrer une base de données dont les tables font référence à une boutique Symantec, à ses membres ou encore à ses informations de paiement. Chacune d'elle recense des dizaines de milliers d'enregistrements. Mais l'expert en sécurité affirme ne pas avoir d'intentions malveillantes : « Mon but est d'alerter, d'attirer l'attention, » écrit-il sur son blog.
Il indique n'avoir extrait que six entrées de la table des clients, qui révèlent que leurs mots de passe sont enregistrés en clair, alors que la moindre des choses serait de les chiffrer, surtout de la part d'une société qui prétend assurer la sécurité de ses clients par le biais de ses logiciels.