Het lek wordt beschreven door Oren Hafif.

Hafif is een white hat hacker, iemand die op zoek gaat naar kwetsbaarheden om deze te melden bij bedrijven, in plaats van er misbruik van te maken. De hack is gebaseerd op Google's account recovery, waarmee wachtwoorden gereset kunnen worden. Het gaat om een zogeheten spear-phishing attack.

Normaliter moeten er een aantal stappen worden doorlopen om te verifiëren dat het account ook daadwerkelijk van de gebruiker is, zoals e-mail accounts van contactpersonen en het e-mail adres waar het nieuwe wachtwoord naartoe gestuurd moet worden. Al deze stappen zijn echter te omzeilen.

Vervolgens moet er een e-mail gestuurd worden naar een gmail-gebruiker, die van Google afkomstig lijkt te zijn, waarin wordt gevraagd om het account te verifiëren. Als de gebruiker hier op klikt komt hij terecht op een website van Google, die vervolgens vraagt om het laatst bekende wachtwoord van de gebruiker.

De website van Google was echter te injecteren met kwaadaardige code, waardoor het wachtwoord dat ingevoerd wordt, te stelen is door de hacker.

De hacker richte zijn aandacht op Google Accounts, waarmee ook ingelogd kan worden op Gmail, omdat veel gebruikers hun andere accounts, zoals die van Twitter, Facebook of Paypal aan hun Gmail-account linken. Met toegang tot Gmail kan een hacker dus ook toegang krijgen tot veel andere accounts.

Google heeft het lek bevestigd en gedicht, waardoor het niet lek niet langer misbruikt kan worden. Het gaat om een high impact bug volgens Google, waarvoor het bedrijf tussen 5.000 en 10.000 dollar uitkeert.