El mensaje falso simula que viene de parte del equipo de Red Hat y advierte de una vulnerabilidad en los comandos “ls” y “mkdir” del sistema operativo. Esto exige una actualización crítica y obliga a los usuarios a actualizarlo desde el dominio fedora-redhat.com, pero que no es un sitio oficial de Red Hat. Según un consultor de K-Otik, una consultora de seguridad francesa, el archivo descargado crea una cuenta de usuario llamada “bash” sin contraseña, coge la dirección IP de la máquina infectada y envía toda la información a una dirección remota. De este modo, el atacante puede usar la cuenta creada para disponer de acceso al sistema de manera remota.