La falla radica en Apache Cordova, que es un conjunto de Interfaces de Programación de Aplicaciones (APIs; application programming interfaces) que permite a desarrolladores acceder a funciones como la cámara o el acelerómetro utilizando JavaScript, según su sitio web.

Trend Micro, quienes encontraron el problema, escribió que el 5.6% de las aplicaciones en la tienda de Google Play utiliza Cordova y son vulnerables. iOS no se ve afectado.

Las aplicaciones que utilizan Cordova, las cuales "no tienen valores explícitos en Config.xml, podrían tener variables de configuracion indefinidas establecidas intencionalmente" de acuerdo con la descripción de la falla en el sitio web de Cordova.

"Esto causa que se desplieguen cuadros de diálogo en aplicaciones y cambios en el comportamiento de la aplicación, incluso forzando su cierre" escribió Joe Bowser, Director de computación científica en Adobe Systems, quien trabaja en Cordova para Android.

Seven Shen, un analista de amenazas móviles, en conjuto con Trend Micro, escribió que la falla podría ser explotada con sólo hacer clic en una liga.

Las aplicaciones que utilizan la versión 4.0.x o superior deben pasar a 4.0.2. La otra versión, Cordova 3.7.2, ha sido actualizada con parches para las aplicaciones que se encuentran en versiones anteriores del código.