Разумеется, AOL отредактировала их — имена людей были исключены, а идентификатор каждого пользователя был заменён на ничего не значащую цифровую комбинацию.

Уникальный числовой идентификатор истории — обычно совпадает с идентификатором истории пользователя из трекера, которым пользуется команда.

На первом этапе злонамеренный пользователь устанавливает на атакуемом сервере так называемую сессию-заглушку и получает (или выбирает произвольный в зависимости от механизма) от него идентификатор.

Некоторые серверы после аутентификации сохраняют в cookie или скрытых полях идентификатор «роли» пользователя в рамках веб-приложения.

После захода пользователя на сайт злоумышленник подключается к серверу, используя зафиксированный идентификатор, и получает доступ к сессии пользователя.

Идентификатор безопасности присваивается каждой учётной записи, поэтому количество таких подразделов зависит от количества пользователей, когда-либо входивших в систему.

После входа пользователя злоумышленник использует идентификатор сессии для получения доступа к системе от имени пользователя.

Последующие запросы пользователя к серверу содержат идентификатор сессии как доказательство того, что аутентификация была успешно пройдена.