Code Blue utnytter et hull i Microsoft webserver IIS som ble oppdaget - og tettet - i oktober i fjor, den såkalte "Web Directory Traversal" sårbarheten. Smitten spres ved at det potensielle offerets port 80 granskes. Dersom det kjører IIS og ikke har fikset det aktuelle hullet, opprettes en FTP-sesjon mellom smittekilden og offeret, og tre filer overføres. Disse filene sikrer at ormen aktiveres hver gang offeret startes på nytt. De avslutter eventuell aktivitet fra Code Red-ormen som rammet en rekke webservere verden over i august i år, og sørger for å fikse hullet som Code Red utnytter. De lanserer et tjenestenektangrep mot nettstedet til det kinesiske IT-sikkerhetsselskapet NSFOCUS en time hver formiddag, Beijing-tid.
Videre aktiveres hundre tråder som skanner vilkårlig valgte IP-adresser for å spre Code Blue videre.