I en CERT Incident Note lagt ut på gruppens nettsted torsdag 22. juli heter det at inntrengere utnytter tre ulike svakheter i RPC-tjenester (remote procedure call), men etterlater ensartet kode. Flere forhold tyder på at crackerne nytter skripter for å automatisere sine angrep. I flere tilfeller har inntrengerne etterlatt pakkedetektorer der de har lykkes i sine angrep. De har også brukt skripter til å laste ned logginformasjon.
CERT skriver at brukernavn og passord på den kompromitterte tjeneren, eller i samme nettsegment, kan ha blitt overført til uvedkommende. Gruppen anbefaler konkrete tiltak for å sjekke sikkerheten rundt tjeneren.
Svakhetene som er utnyttet i angrepene, er kjent gjennom tidligere advarsler fra CERT. Det er lagt ut motmidler i form av både veiledning og fikser. To av RPC-hullene (ToolTalk, samt en sårbarhet i statd som utnytter et hull i automountd) har vært kjent i flere måneder. Den nyeste, en svakhet i cmsd (Calendar Manager Service Daemon), ble varslet av CERT 16. juli.
En talsperson for CERT klager til New York Times over slendrian hos mange systemansvarlige som ikke følger med i sikkerhetslandskapet, og ikke installerer fikser og patcher etter hvert som de kommer.
Flere tusen maskiner på mange titalls steder skal være rammet. CERT-talspersonen understreker at selv om det som skjer må betegnes som betydningsfullt, er man ennå langt fra det skadenivået som ble utført av Melissa-viruset.
Problemet er at eventuelt etterlatte trojanere kan gå uoppdaget lenge.
En telefonrunde til driftspersonell i Norge tyder på at tilsvarende angrep ikke er registrert her i landet. I USA skal både offentlige og private nettsteder være rammet. Foreløpig har ikke skadene vært alvorlige.
En løpende diskusjon om angrepene føres på forumet Bugtraq (se peker nedenfor).
