Der Symantec-Experte Nishant Doshi beschreibt das bereits behobene Problem in einem Blogpost. In bestimmten Fällen gaben demnach Facebook-Anwendungen, die in einem IFRAME abliefen, sogenannte Access Tokens an Dritte wie Werbetreibende oder Analytik-Plattformen weiter. Doshi vergleicht diese Tokens bildlich mit "Ersatzschlüsseln" für jeweils bestimmte Funktionen bei Facebook wie Lesen der Pinnwand, Zugriff auf das Profil eines Facebook-Freunds, Schreiben an die Pinnwand undsoweiter.

Facebook verwendet zwar seit geraumer Zeit standardmäßig die moderne Authentifizierungsmethode OAUTH 2.0, ältere Verfahren werden aber weiterhin unterstützt und auch von vielen Facebook-Apps noch verwendet.

Symantec hatte Facebook Mitte April über die Schwachstelle informiert, das Soziale Netzwerk hat seitdem Vorkehrungen getroffen, damit keine Access Tokens mehr versehentlich weitergereicht werden können, und ruft auch seine Entwickler dazu auf, ihre Apps auf OAUTH und HTTPS-Verbindungen umzustellen. Ein tatsächlicher Missbrauch ist bislang nicht nachgewiesen.