A la loupe, la faille était basée dans une option de Facebook utilisant le site de recommandations d'internautes Yelp. Techcrunch explique que Yelp fait partie des trois sites choisis par Facebook pour tester sa fonction de « personnalisation instantanée » avec Pandora et Docs.com. Dès lors, si un internaute se connecte à l'un de ces sites, Facebook lui fournit de manière chiffrée des données personnelles afin que sa visite soit personnalisée.
Pour autant, un code malveillant a pu être injecté via la méthode du cross-site scripting. Toutes ces informations a priori chiffrées étaient alors visibles d'un attaquant. Il était même possible de récupérer la clé de chiffrement et ainsi de bénéficier de toutes les informations sur les internautes.
Toujours est-il que si la faille a été corrigée en moins de deux heures, elle laisse un doute béant quant aux capacités de Facebook de préserver les identités des internautes. Il faut préciser que le site de Mark Zuckerberg a vocation à partager les adresses e-mail de ses utilisateurs vers des sites tiers. Il se pourrait donc que des entreprises souhaitent, à terme, utiliser ces précieuses informations. A moins qu'une vague de désinscriptions n'ait raison du réseau social...