Selon un porte-parole du Projet Debian, la méthode utilisée par les pirates pour pénétrer plusieurs serveurs officiels reste inconnue. Les membres de l’équipe Debian privilégient l’hypothèse d’une faille non publiée, peut-être située dans le noyau, qui permettrait de devenir root à partir d’un compte local sans privilège. C’est à partir d’un tel compte, accédé grâce à un mot de passe volé, que les pirates ont pu « escalader » les droits et prendre le contrôle du premier des quatre serveurs compromis. Ce même compte aurait alors servi à pénétrer un second serveur, tandis que les deux derniers sont tombés différemment : pour l’un grâce à une relation de confiance avec le premier serveur piraté et, pour le suivant, à cause d’un mot de passe capturé depuis l’une des deux premières victimes.Seuls des serveurs Intel sous Debian Linux ont étés piratés, tandis que ceux sous Sun n’ont pas été touchés, ce qui semble indiquer que la faille ne concerne que la version Intel de Debian Linux.Une fois dans la place, les pirates ont installé un piège connu, appelé SucKIT, déjà utilisé dans le piratage d’ordinateurs du CERN en début d’année.