Facebook geeft gebruikers de mogelijkheid een afbeelding toe te voegen aan een poll. Deze kan worden toegevoegd door een gif-URL of image-id op te geven. Kwaadwillenden kunnen deze ID wijzigen in ID's van andere afbeeldingen waardoor er een (nieuwe) poll wordt aangemaakt met de nieuwe afbeelding.

Het probleem is echter dat als de poll daarna wordt verwijderd, de afbeelding die daaraan is toegevoegd ook wordt verwijderd. Er wordt daarbij niet gekeken of de afbeelding van de poll-maker is of niet. Hierdoor kan iedereen dankzij dit trucje dus elke afbeelding verwijderen die zij maar kwijt willen.

"Als een gebruiker een poll aanmaakt, wordt er een verzoek verstuurd met een gif URL of image ID. poll_question_data[options][][associated_image_id] bevat de locatie van de afbeelding. Als deze waarde wordt gewijzigd naar een andere afbeelding, wordt deze weergegeven in de poll," aldus Darabi.

Facebook is inmiddels op de hoogte en heeft de bug geplet. Darabi kreeg 10.000 dollar als beloning. In de onderstaande video zie je hoe de bug werkt(e).