Angreifer könnten im sogenannten User Data Header (UDH) der Protocol Description Unit (PDU) eine bestimmte Zieladresse für eine Antwort des Empfängers eingeben, die allerdings in der zugesandten SMS-Mitteilung nicht sichtbar ist, so Pod2g. iPhone-Nutzer würden beim Antworten lediglich die im Feld "Antworten an" hinterlegte (möglicherweise gefälschte) Adresse sehen und nicht die wirkliche Zieladresse.
Im Grunde genommen besteht das Problem aus zwei Schwachstellen: Manche Handys und Smartphones wie das iPhone zeigen dem Nutzer nicht beide Adressen - die originale Adresse und diejenige für "Antworten an" - und viele Mobilfunkbetreiber überprüfen bei der Übermittlung der Nachricht in ihren Netzen nicht die Informationen im optionalen UDH, in denen die Zieladresse für eine Antwort geändert werden kann. Gefährlich sei die Sicherheitslücke, weil sie Phishing ermögliche, so der Blogger. Angreifer könnten beispielsweise einem Empfänger ihrer Kurzmitteilung vorgaukeln, die Nachricht stamme von seiner Hausbank, und ihn auffordern, persönliche Kontodaten preiszugeben. Ein entsprechendes Tool mit dem Namen Sendrawpdu, mit dem man die Antwort-Adresse in SMS-Mitteilungen manipulieren kann, hat der Hacker bereits veröffentlicht.
In einer kurzen Stellungnahme, die Apple Engadget zugesandt hat, weist Apple auf die generell bei Handys und Smartphones bestehende Gefahr, solche manipulierten SMS zugesandt zu bekommen, hin. Beim iPhone-Dienst iMessage könnten solche Spoofing-Nachrichten nicht übermittelt werden, da die Adressen überprüft würden. iMessage erlaubt allerdings nur die Übermittlung von Nachrichten oder von anderen Daten zwischen zwei oder mehreren unter iOS oder OS X laufenden Geräten. Im Internet werben laut smsspoofing.com Dutzende von kostenpflichtigen SMS-Spoofing-Diensten um Kunden.