De worm doet valse aanvragen op poort 80 van webservers en wil vervolgens misbruik maken van xml-rpc in de php/cgi-taal. De worm heeft een vergelijkbare werkwijze als Slapper, die zich puur en alleen op Linux- en BSD-systemen richtte, aldus McAfee.

Er zijn nogal wat voorwaarden wil de worm zich kunnen verspreiden. De server moet op bepaalde url's een kwetsbaar script hebben draaien. Als vervolgens externe shell-commando's mogelijk zijn en downloads op afstand worden toegestaan, pas dan kan de worm de server infecteren en zichzelf verspreiden. Tevens oogst het alle e-mailadressen die aanwezig zijn op de server.

Anti-virusbedrijven schatten het risico van de worm vooralsnog in op 'laag' tot 'medium'. Meer informatie omtrent de worm is te vinden bij McAfee en Symantec.