В теории встроенное ПО должно быть защищено от вмешательства, но исследователи нашли способ перезаписать прошивку с помощью эксплойта, который позволяет запустить модуль уровня ядра, получить в системе привилегии уровня root и прямой доступ к памяти. В некоторых случаях эксплойт может сразу перезаписать загрузочный код, а если это не удается, используется другая уязвимость, открывающаяся, когда компьютер выходит из спящего режима.
Вредонос также способен записываться в загрузочные микропрограммы (Option ROM) периферийных устройств, подключаемых по интерфейсу Thunderbolt. Если инфицированное устройство затем подключить к другому компьютеру, червь заразит и его прошивку, поскольку код из Option ROM запускается самым первым. Таким образом можно инфицировать даже изолированные компьютеры, специально отключенные от сетей передачи данных.
Исследователи сообщают, что уведомили Apple об уязвимостях.