Volgens Internet Security Systems (ISS), dat het lek ontdekte, bevindt de bug zich in het `challenge-repsonse' mechanisme van de OpenSSH deamon (sshd). OpenSSH wordt gebruikt om een veilige verbinding op te zetten. De techniek lijkt op die van telnet. Dit gedeelte van het SSH2-protocol zorgt voor de identificatie van de gebruiker door een aantal nummers te genereren en deze te sturen naar de computer van de gebruiker. De computer van de gebruiker moet dan een aantal specifieke waarden terug sturen. Het systeem is enigszins vergelijkbaar met de werking van vele internetbankingsystemen. De ABN Amro en de Rabobank maken gebruik van een calculator waarbij een getal moet worden ingegeven waarop de calculator een antwoord genereert. Volgens ISS kan het uitbuiten van de bug resulteren in een denial of service. De OpenSSH software draait met de rechten van de zogenoemde superuser, het is dan ook niet ondenkbaar dat een hacker zich de rechten toeeigent. Aangeraden wordt om onmiddellijk de software op te waarderen naar OpenSSH versie 3.4.