Durch die Schwachstelle können Angreifer demzufolge X-Konten vollständig übernehmen und anschließend in deren Namen posten, liken, das Profil verändern oder den Account schlussendlich löschen. Die Ursache liegt anscheinend darin begründet, dass sich der CSRF-Token, der vor Cross Site Request Forgery schützen soll, von anderen Subdomains via XSS ausgelesen werden könne und diese daraufhin neue Token erstellen könnten.

Ins Spiel kommen dabei außerdem laut dem X-Nutzer "Chaofan Shou" (@shoucccc) bestimmte twitter.com-Subdomains, die Cookies für die Zugriffskontrolle akzeptieren und es so letztlich ermöglichen, X-User zu impersonifizieren. Klicken Nutzer auf einen speziell präparierten Link mit einem JavaScript-Code, der diese Lücke ausnutzt, lasse sich deren Konto stehlen. Der Thread hierzu findet sich unter https://twitter.com/shoucccc/status/1734802168723734764.