Craig dùng các công cụ để phân tích các gói tin cập nhật lõi, xác định phân tích nhị phân địa chỉ httpd (Hypertext Transfer Protocol Daemon - web server) và phát hiện ra nhà sản xuất có sử dụng GoAhead server, tuy nhiên thực chất các thông số đã bị thay đổi.

Các router được bảo vệ với các chuẩn mã khóa Wi-Fi Protected Setup (WPS) và WPA, những vẫn gửi đi một gói UDP với những ký tự đặc biệt, giúp kẻ tấn công có thể chiếm được quyền kiểm soát.
Các router này có chứa một cờ hiệu trong thành phần httpd, có tên MfgThread(). Hàm này sinh ra một dịch vụ backdoor, theo dõi các thông điệp được gửi tới, nếu trong đó có chứa “từ mã bí mật” thì lệnh sẽ được thực thi. Kẻ tấn công từ xa với quyền truy cập vào mạng nội bộ, có thể thực thi những lệnh tùy ý với quyền của root.
Craig quan sát được, kẻ tấn công chỉ cần chạy lệnh telnet UDP lên cổng 7329, là có thể chiếm được quyền root:
echo -ne "w302r_mfg\x00x/bin/busybox telnetd" | nc -q 5 -u 7329 192.168.0.1
Trong đó, w302r_mfg chính là chuỗi ký tự đặc biệt - từ mã bí mật, cho phép truy cập qua backdoor.

Một số các router có thể bị tấn công là  W302R và W330R, cùng với các mẫu được gắn nhãn mới như Medialink MWN-WAPR150N. Các router Tenda khác đều có khả năng có mã độc này. Chúng đều sử dụng từ mã bí mật là w302r_mfg.