Bij het onderzoek is gekeken naar de Aestiva en Aespira, die beide door GE, een fabrikant van medische apparatuur, worden gemaakt. Wordt het apparaat met het netwerk van een ziekenhuis verbonden, dan kunnen hackers hierin makkelijk inbreken.

Volgens Homeland Security in de Verenigde Staten hoeft een hacker niet heel vaardig te zijn om de apparatuur te hacken. Zijn ze eenmaal binnen, dan kunnen ze bijvoorbeeld alarmgeluiden stilhouden, geschiedenislogs aanpassen en zelfs aanpassen wat voor gassen de apparatuur verspreidt.

Bij een van de hackmethodes wordt een oud protocol in de apparatuur misbruikt. Dit protocol zit nog steeds in de software, zodat deze kan samenwerken met oudere machines.

Volgens de onderzoekers hoeft een hacker op geen enkel moment een wachtwoord in te voeren om wijzigingen in de apparaten door te voeren.

Het is niet bekend hoeveel apparaten precies vatbaar zijn voor cyberaanvallen. GE zou sinds 2009 geen apparaten meer verkopen waarmee de gascompositie gewijzigd kan worden bij verdovingen.

De softwarelekken die de hackaanvallen mogelijk maken, werden in oktober 2018 al door de onderzoeker gemeld bij de fabrikanten. Een woordvoerder van GE zegt dat er "geen risico voor patiënten bestaat en het apparaat zelf niet kwetsbaar is voor aanvallen."

De gevonden beveiligingslekken zijn alleen te misbruiken als de apparatuur met het netwerk verbonden is. Wordt er geen verbinding gelegd, dan kan een aanval op afstand niet worden uitgevoerd.

Het is niet bekend in hoeverre apparatuur van GE ook in Nederlandse ziekenhuizen staat. Het bedrijf verkoopt wel zijn producten in Europese winkels.