Największym z zagrożeń była trwała luka XSS, którą można wykorzystać poprzez specjalnie spreparowany adres URL. Aby atak się powiódł, atakujący potrzebuje uzyskać kilka informacji na temat użytkownika: statyczne ID oraz ID wiadomości. Wartości te były łatwe do uzyskania przez przeciek referrera. Mail odpowiednio zakodowany w HTML, umożliwiał po jego otwarciu wyciągnięcie potrzebnych informacji.
Pozostałe luki XSS dotyczyły DOM (Document Object Model), także w widoku mobilnym Gmaila. Juenemann twierdzi, że Google Security Team szybko naprawił błędy po zgłoszeniu problemu.
Źródło: Google, Juenemann