Der Betrug war möglich durch eine Lücke in der "Passwort vergessen"-Funktion des Online-Shops. Nach einem Klick auf den entsprechenden Link wurde dem Besteller nicht etwa ein neues Passwort zugesandt, er wurde lediglich zu einer manuellen Eingabe von Name, Adresse und Geburtsdatum aufgefordert.
Offenbar nutzten Betrüger diese Lücke, um hier die Daten von lokalen Quelle-Shops einzugeben, an die dann auch die Rechnung geschickt wurde. Die Ware hingegen wurde an die separat eingetragene Versandadresse verschickt.
Inzwischen ist die Lücke geschlossen. Dirk Seifert, einer der Geschäftsführer, kündigte personelle Konsequenzen aus der peinlichen, und wohl auch kostspieligen Sicherheitslücke an.