Lỗ hổng an ninh được phát hiện lần này là việc các từ khóa bảo mật riêng được sử dụng đăng ký phần mở rộng (plug-in) bị rò rỉ, cho phép bất cứ ai có thể tạo ra các plugins độc hại giả mạo như là phần mềm Yahoo! chính thức.
Một blogger bảo mật Úc, Nik Cubrilovic, người được nhiều người biết đến hồi năm ngoái khi phát hiện các tập tin cookie theo dõi trên Facebook, lần đầu tiên tiếp xúc và phát hiện các lỗ hổng này trên blog của mình và khuyên người dùng không nên cài đặt plug-in này "cho đến khi vấn đề được làm rõ". Cubrilovic giải thích rằng bằng cách vô ý tạo ra các từ khóa công cộng này, người dùng có thể sử dụng nó đăng ký phần mềm độc hại và đánh lừa Google cho nó là hợp pháp, phần mềm giả mạo có thể chụp lại tất cả các lưu lượng truy cập web, bao gồm cả mật khẩu, cookies,...
Yahoo hiện đã phát hành một phiên bản cập nhật trên các phiên bản plug-in của mình và loại bỏ các từ khóa riêng. Công ty cũng đưa ra danh sách đen các từ khóa xác nhận trên Google để bất cứ ai đã cài đặt plug-in Axis trên Chrome sẽ không dễ bị tấn công trong tương lai.