De hackers ontfutselden de informatie met behulp van sql-injectie, waarbij aan database-requests eigen sql-code wordt toegevoegd. Daardoor kan informatie uit de database worden bekeken of aangepast. Sql-injectie is te voorkomen door bepaalde tekens te verwijderen uit de input van formulieren die door gebruikers worden ingevuld. MySQL heeft daarvoor een speciale functie, die het op zijn eigen website mogelijk niet overal gebruikte.
Beveiligingsexpert Chester Wisniewski van Sophos meldt op zijn weblog dat de hackers met behulp van de aanval de databasetabel met gebruikersgegevens wisten te confisqueren. Zij postten deze gegevens later op de website Pastebin. De wachtwoorden in die dump zijn al deels gekraakt.
Het is daarbij opvallend dat veel beheerders van de website erg eenvoudige wachtwoorden gebruiken. Zo komt het tweeletterige wachtwoord ‘qa’ enkele malen voor. Daarnaast werden meerdere, moeilijkere, wachtwoorden verschillende keren herhaald onder meerdere gebruikers.