در این پویش تمامی پیام‌ها از طرف آدرسی به شکل <[device]@[recipient’s domain]> ارسال شده که در بخش [device] عباراتی مانند copier ،documents ،noreply ،no-reply و یا scanner می‌تواند قرار بگیرد. موضوع رایانامه در تمامی موارد Scan Data است در حالی‌که نام سند مخرب مایکروسافت ورد Scan_xxxx.doc یا Scan_xxxx.pdf است.

وقتی این سند مخرب باز شد، بهره‌برداری انجام شده و پس از اجرای یک سری دستورات، تروجان Dridex با شناسه‌ی ۷۵۰۰ بر روی رایانه‌ی قربانی نصب می‌شود. محققان امنیتی اشاره کردند برای بهره‌برداری از این آسیب‌پذیری هیچ نیازی به تعامل کاربر وجود ندارد. محققان امنیتی می‌گویند در چند وقت اخیر شاهد بوده‌ایم که مهاجم از طریق هرزنامه و ماکروهای مخرب سعی در نصب بدافزار داشتند و برای فریب کاربر از روش‌های مهندسی اجتماعی بهره‌ می‌بردند ولی در این حمله می‌بینیم که هیچ یک از این موارد رخ نداده است. به‌عبارت دیگر مهاجمان می‌توانند به راحتی روش‌های مورد استفاده‌ی خود را تغییر داده و تأثیر عملیات خود را افزایش دهند.