Apple heeft in het verleden al even last gehad van een Thunderstrike-worm (en varianten). Het lek, dat de eerste Thunderstrike misbruikte, is gedicht in versie 10.10.2 van OS X. Daarnaast had de hacker fysieke toegang nodig tot de Mac.

In versie 2 hoeft het slachtoffer alleen maar op een linkje te klikken. De worm paste de firmware aan en kon andere systemen besmetten via het "option ROM" van verschillende Thunderbolt-apparaten. Als een slachtoffer een Thunderbolt-apparaat (met option ROM) aansloot op de besmette Mac, nestelde de worm zich in het option ROM van dat apparaat. Als dit apparaat vervolgens werd aangesloten op een andere Mac besmette Thunderstrike 2 de firmware van deze nieuwe Mac.

Het opnieuw installeren van het besturingssysteem heeft in dat geval geen zin aangezien de firmware onaangetast blijft tijdens zo'n herinstallatie. Ook de gemiddelde virusscanner kijkt niet in option roms en in de firmware van Macs waardoor deze worm zeer effectief is.

Gelukkig hebben de onderzoekers van LegbaCore Apple ingelicht en is het lek inmiddels gedicht door Apple. Daarnaast heeft het bedrijf LegbaCore overgenomen. Xeno Kova, een van de onderzoekers, heeft in een tweet gezegd dat ze zich hoogstwaarschijnlijk bezig zullen houden met "low level security"