Einem bisher unbekannten Internet-Nutzer war es gelungen, das zerstörerische Programm auf den Servern mehrerer US-Provider unbemerkt zu installieren. Obwohl bestimmte Textausgaben des Cancelbots darauf hindeuten könnten, daß es der Unbekannte auf spezielle News-Gruppen und Inhalte abgesehen hatte, glaubt Rick Adams, Gründer und Chief Technology Officer des betroffenen Providers Uunet, nicht an einen gezielten Angriff: "Diese Person hat einfach alles angegriffen. Er hat jeden Artikel gelöscht und die Texte nicht einmal vorher gelesen. Es sieht so aus, als habe sein Programm einfach vorgegeben, ein anderer Rechner zu sein, und die komplette Distribution verschlungen."

Diese Form des Angriffs ist durch die hierarchische Struktur des Usenet (Abkürzung für Users Network) möglich, das eng mit dem Internet verbunden ist und oftmals als Teilbereich desselben angesehen wird. Die Inhalte der verschiedenen angebotenen Diskussionsforen werden über ein weltweites Rechnernetz täglich ausgetauscht und abgeglichen. Ein Programm, das vorgibt, ein Rechner innerhalb dieses Netzes zu sein, kann Nachrichten löschen, bevor diese in den globalen Abgleich geraten. Die momentane Struktur und Technologie bietet keinen wirksamen Schutz gegen solche Attacken.

Der Weg des Saboteurs ließ sich im nachhinein über Server des Groß-Providers Uunet Technologies Inc. bis zu einem Account bei Cottage Systems, einem kleinen Internet-Service-Provider (ISP) in Tulsa, Oklahoma, zurückverfolgen. Daraufhin wurde der Zugang gesperrt und das Federal Bureau of Investigation (FBI) eingeschaltet.