Dziura polega na szyfrowaniu części pakietów HTTP z wykorzystaniem klucza na stałe zapisanego w programie (a więc każdy z nas ma taki sam), który przestępcy mogą łatwo wydobyć i wykorzystać do przechwytywania pakietów w niezabezpieczonej sieci Wi-Fi oraz wysyłania spreparowanych odpowiedzi (np. ze wspomnianym plikiem APK).

Twórcy programu obiecali, że w ciągu dwóch tygodni załatają tę lukę, a do tego czasu lepiej nie korzystać z programu, gdy jesteśmy podłączeni do nieznanych nam sieci Wi-Fi.