De kwetsbaarheid maakte het mogelijk dat mensen zonder NS-account met hun NS-klantnummer konden inloggen. In de aanmeldprocedure werden weliswaar ook een inlognaam, wachtwoord en e-mailadres gevraagd, maar het systeem controleerde niet of het ingevoerde klantnummer al gekoppeld was aan een bestaand account.

Daardoor konden kwaadwillenden voor elk willekeurig klantnummer een account aanmaken en beheren, waardoor klantgegevens misbruikt konden worden. Onder de privacygevoelige informatie bevonden zich onder andere adressen en telefoonnummers. Bovendien bleek het mogelijk om bestellingen te plaatsen op kosten van de legitieme abonnementhouder, zo meldt Security.nl.

De NS verklaarde tegenover de beveiligingssite dat gebruikers zich niet langer alleen met hun klantnummer kunnen aanmelden. Volgens NS-woordvoerder Rob Hageman was de aanmeldprocedure juist bedoeld 'als service naar de klant toe', als een laagdrempelige aanmeldprocedure. Volgens Hageman zouden er geen gevallen van misbruik bekend zijn.