En una publicación del blog , el investigador de seguridad de Imperva, Ron Masas, explica cómo un ataque de CSFL podría explotar las propiedades de los elementos de iFrame para determinar el estado de una aplicación. La ejecución de este proceso a través de contactos individuales de Messenger daría lugar a uno de dos estados, completo o vacío, indicando si un usuario se había comunicado con ese contacto o no. Esa es esencialmente la extensión de la falla. No fue capaz de recuperar conversaciones o extraer datos de los historiales de chat ; simplemente produjo datos binarios con aplicaciones muy limitadas para personas infames.
No obstante, Masas hizo que Facebook se diera cuenta del error y, dada su conexión con el defecto anterior, más grave, Facebook ha decidido eliminar por completo todos los iFrames de la cara de usuario de Messenger. "Los ataques de canal lateral basados en el navegador siguen siendo un tema pasado por alto", escribe Mases en el blog de Imperva. "Mientras que grandes jugadores como Facebook y Google se están poniendo al día, la mayoría de la industria aún no lo sabe".