A Microsoft közleménye szerint a TikTok fiókok eltérítéséhez elegendő lett volna egy speciálisan kialakított link, amire ha a felhasználó rákattint, a támadók hozzáférhetnek az áldozat TikTok profiljához, és módosíthatják az ott található tartalmakat és beállításokat, például közzétehetik a privát videókat, üzeneteket küldhetnek és videókat tölthetnek fel az áldozat nevében. A sérülékenység a weboldalak JavaScript kódjait kezelő interfész hibás implementálásából ered, ami az androidos WebView rendszerkomponens része.
Az alkalmazások a WebView segítségével töltik be és jelenítik meg a weboldalakat, valamint ez lehetővé teszi a weboldalak JavaScript kódjainak, hogy meghívják az alkalmazás egy adott osztályának adott Java metódusait. Ha nem megbízható tartalom kerül betöltésre a WebView-ba, az alkalmazás sebezhetővé válik a JavaScript interfész befecskendezésekkel (injection) szemben, ami adatszivárgáshoz, adatsérüléshez vagy bizonyos esetekben tetszőleges kódfuttatáshoz is vezethet.
A Microsoftnak nincs információja arra vonatkozóan, hogy támadók a sérülékenységet kihasználták volna, azonban az érintett felhasználóknak mindenképp javasolt az alkalmazás mielőbbi frissítése, valamint tartózkodni az ismeretlen forrásból érkező linkek megnyitásától.
