Het betreft een fout in het LiveUpdate-programma, dat wordt gebruikt om de nieuwste virusdefinities van het web op te halen. Door de fout kunnen geïnfecteerde bestanden worden gedownload. De Duitse hackersgroep, opererend onder de naam Phenoelit, zegt fouten te hebben ontdekt in LiveUpdate versie 1.4 en 1.6. Wanneer LiveUpdate 1.4 naar updates zoekt, probeert het verbinding te maken met een specifieke server bij Symantec. Deze verbinding kan echter worden onderschept met enkele DNS aanvallen. Hierna kan de aanvraag worden omgeleid naar een willekeurige server, aldus Phenoelit. Als een kwaadwillende vervolgens dezelfde directorystructuur op die willekeurige server nabootst, haalt de gebruiker de geïnfecteerde code als het ware zelf binnen. De fout treedt niet in deze mate op in versie 1.6, zo concludeert de groep. Phenoelit heeft Symantec al op 22 september op de hoogte gebracht van de ontdekte gevoeligheden, maar het bedrijf heeft volgens de groep niet gereageerd. De groep adviseert gebruikers in ieder geval om te upgraden naar LiveUpdate versie 1.6, omdat de bug in deze versie minder verstrekkende gevolgen zou hebben.