Auf jedem der betroffenen Server werden eine Reihe legitimer Websites auf einem Apache-Webserver gehostet. Daneben läuft auf den Rechnern ein weiterer Server namens nginx, auf dem Schadsoftware gehostet wird. Dieser Schadcode wird mit Hilfe dynamischer DNS-Server in legitime Websites injiziert.
Allem Anschein nach sind die Administratoren der Server nicht die Urheber der Infektion, wenngleich sich noch nicht mit Bestimmtheit sagen lässt, wie die Server infiziert worden sind. Vermutlich wurden die Root-Passwörter unvorsichtiger Administratoren mit Hilfe eines Sniffers ausgelesen. Mit Hilfe dieser Zugangsdaten konnte der nginx-Server dann wohl auf den Rechnern installiert werden. Alle kompromittierten Server laufen unter verschiedenen Linux-Distributionen und verwenden die Webserver-Software Apache.