La brèche a été identifiée par Natalie Silvanovich du Project Zero de Google, et signalée le 6 octobre à Facebook, avec l’habituel délai de 90 jours avant de dévoiler publiquement les détails. Elle concernait la version 284.0.0.16.119 de l’application Android.
Le réseau social présente l’attaque comme « sophistiquée », mais avec de graves conséquences : « pendant que l'appareil sonne, l'appelant commencerait à recevoir l'audio jusqu'à ce que la personne appelée réponde ou que l'appel expire ».
Pour exploiter cette faille, il fallait simplement que le pirate puisse appeler l’autre personne (c’est-à-dire qu’ils soient « amis »). Des correctifs ont évidemment été déployés et une prime de 60 000 dollars a été accordée.