De worm in kwestie, Mare-D, komt binnen via een kwetsbaarheid in php xml-rpc — een open-sourcecomponent die door verschillende applicaties wordt gebruikt — en een kwetsbaarheid in het open-source cms-pakket Mambo.

Eenmaal binnen installeert de worm drie achterdeuren die via een host op afstand of via IRC kunnen worden opengezet. Via poort 27015 kunnen bovendien aanvullende commando's worden gegeven, bijvoorbeeld om de worm van vernieuwde componenten te voorzien.

Beveiligingsbedrijven verwachten niet dat de worm veel schade aanricht, omdat php xml-rpc en Mambo al enige tijd geleden zijn gepatcht: php xml-rpc met versie 1.1.1, Mambo met versie 4.5.2.1.

De worm heeft verschillende aliassen, waaronder Net-Worm.Linux.Mare.d, Linux.Plupii.C en Unix/ShellBot.C.