Mit Hilfe von manipulierten Webseiten ist es Angreifern möglich, den kompletten E-Mail-Verkehr eines Users zu kontrollieren. Die schädliche Website richtet dann gewisse Filtereinstellungen ein, die eine Cross-Rite.Request-Forgery-Lücke (CSFR) öffnen.
Damit werden dann beispielsweise ein- und ausgehende E-Mails weitergeleitet. Der Angreifer überwacht fortan sämtliche Mails des betroffenen Users, selbst wenn dieser sich von der aktuellen Session des Webmail-Dienst abgemeldet hat. Ein derartiges Verfahren wird auch als Session Riding bezeichnet.
Entdecker der Lücke ist Petko Petkov, der schon eine Sicherheitslücke in PDF-Readern entdeckt hatte. Details will Petkov aber erst preisgeben, wenn Google das Problem behoben hat.