Sistem şu formda çalışıyor: Bir kullanıcı bir GitHub yorumuna bir belge yüklediğinde (yorumun kendisi hiç gönderilmemiş olsa bile), otomatik olarak bir indirme kontağı oluşturuluyor. Bu ilişki, deponun ve sahibinin adını içeriyor ve potansiyel olarak kurbanları, sağlam kaynak irtibatı nedeniyle dosyanın yasal olduğunu düşünmelerini sağlıyor.
Teknik uzmanlık gerektirmiyor
Örneğin, bilgisayar korsanları makus hedefli yazılımı rastgele bir depoya yükleyebiliyor ve indirme irtibatını da Microsoft gibi tanınmış bir geliştiriciden yahut şirketten geliyor üzere gösterebiliyorlar. Bu güvenlik açığı rastgele bir teknik uzmanlık gerektirmezken; yalnızca bir yoruma berbat gayeli bir evrak yüklemek kâfi.