FormSpy installiert sich in diesem Browser als Erweiterung und protokolliert nach erfolgreicher Installation Maus- und Tastaturereignisse, die sich innerhalb des Browserfensters abspielen. Auf diese Art erbeutet er Kreditkarten-Nummern, Bankzugangsdaten und andere vertrauliche Informationen.
Firefox-Erweiterungen werden gewöhnlich über eine XPI-Datei installiert, deren Einrichtung die Anwender ausdrücklich zustimmen müssen. FormSpy überschreibt hingegen direkt Mozillas Konfigurationsdateien, sodass diese Sicherheitsabfrage übergangen wird.
Übertragen wird der Schädling durch den Trojaner Downloader-AXM, der seinerseits über Spam-Netzwerke per Massen-E-Mail verteilt wird.