Wie auf der Webseite hackersblog.org zu lesen ist konnte man mittels SQL Injection Daten abrufen, die normalerweise nicht für die Öffentlichkeit bestimmt waren, so war es möglich Daten über Kunden, Aktivierungscodes, Fehlerberichte, Administratorennamen und Shops auszulesen.

Laut Medienberichten halten Sicherheitsexperten die Schilderungen für glaubhaft, so auch Roger Thompson vom Konkurrenten AVG Dass Programme auf Webservern Eingabedaten nicht ausreichend filtern, ist ein weit verbreitetes Sicherheitsproblem.

Heise erreichte kurze Zeit nach der Veröffentlichung ihres Artikels eine Kaspersky Stellungnahme in der schwammig regelrecht naiv die Problematik runtergeredet wurde. So sei nur die Internetseite usa.kaspersky.com betroffen und die Sicherheitslücke wäre 30 Minuten nach Bekanntwerden dieser schon wieder beseitigt worden.Ebenso argumentiert Kaspersky:

Die Sicherheitslücke war nicht kritisch und keine Daten wurden von der Seite gestohlen.