De originele bug is gevonden door twee Egyptische beveiligingsonderzoekers. Ahmed Aboul-Ela en Ibrahim Mosaad waren specifiek op zoek naar gaten in Google's videosite die "een beetje outside the box" waren. Uiteindelijk met succes, want in de functie die comments beoordeelt vonden ze een gaatje.

Daarmee bleek zonder interactie van gebruikers het eindeloos kopiëren van positieve reacties mogelijk. Ook commentaren van hele YouTube-kanalen konden zo gestolen worden. Handig als je jezelf eens een complimentje ('wat is dit een geweldige video') zou willen geven. Met de comment die iemand anders op een andere video heeft gegeven.

Http-verzoek onderschept

Default worden YouTube-reacties automatisch geplaatst, maar zij die reacties eerst willen laten keuren en dat zo hebben ingesteld ('in afwachting van controle') waren kwetsbaar. Door het onderscheppen van het http-verzoek bleek het mogelijk om de comment_id van de (POST)parameter te wijzigen naar die van eigen video's .

"De originele reactie op de originele video verdwijnt niet, en de auteur van de reactie krijgt geen notificatie dat zijn comment is gekopieerd naar een andere video", schrijven de bughunters in een blogpost.

Google is eind maart netjes op de hoogte gebracht, patchte het lek binnen een week én beloonde de vondst op 3133taire wijze: