Auf öffentlich zugänglichen Testservern fehlte schlicht eine Absicherung gegen Brute-Force-Angriffe. Fremde konnten beliebige Konten zurücksetzen und per Skript sechsstellige Codes durchprobieren. Facebook verschickt diese Codes üblicherweise per E-Mail oder SMS.