Zranitelnost se nacházela v souboru ext/xml/xml.c, který je zodpovědný za parsování XML obsahu. Vhodně připravený exploit může vyvolat DoS, nebo případně může docílit i ke vzdálenému spuštění libovolného kódu na cílovém systému.
Tvůrci projektu - Peter Sunde (Twitter - @brokep), Leif Högberg (@leihog) a Linus Olsson (@bonq) - už mají podle svých slov dost absolutní ztráty soukromí potvrzené Edwardem Snowdenem. A rozhodli se dát světu heml.is.