Sie steckte in der für einen Blog genutzten Subdomain admin.salesforce.com. Code ließ sich auch von anderen Websites injizieren. Angreifer konnten etwa ein Salesforce-Log-in nachbauen und den Link darauf per Phishing verbreiten, um an Daten zu kommen.
