Problém tkví v principu, jakým Android ověřuje vydavatele uvedené v digitálních certifikátech balíčků aplikací, tedy spíše neověřuje. Ano, je to skutečně tak, Android opravdu žádným způsobem neověřuje, zda je uvedený autor skutečný vydavatel aplikace. Díky tomu může škodlivá aplikace napodobit certifikát jiného programu a Android tak udělí aplikaci stejná oprávnění, jaké má legitimní aplikace.
Každá aplikace pro Android má svůj vlastní digitální podpis – v podstatě „identifikační kartu“, či v našich končinách přesněji „průkaz totožnosti“. Například programy firmy Adobe Systems mají specifický podpis a všechny aplikace Adobe mají ID, které vychází z tohoto podpisu. BlueBox zjistil, že když aplikace používá ID, odkazující na Adobe, Android zpětně nekontroluje jeho platnost. Je tedy možné vytvořit škodlivý software vycházející z podpisu Adobe a infiltrovat se tak do systému,cituji ze zdroje aktuality.
Bezpečnostní společnost BlueBox, která problém odhalila, o této skutečnosti informovala Google již v březnu. Ten okamžitě připravil záplatu, kterou dal k dispozici výrobcům společně s 90 dny hájení. Přesto, že tato lhůta již vypršela, zjistilo se testem provedeným na 40ti zařízeních, že do dnešního dne implementoval opravu zatím jen jediný výrobce.
Google nechtěl nechat nic náhodě a pro jistotu prověřil i všechny aplikace v Google Play, aby zjistil, zda náhodou některá z nich této slabilny Androidu již nezneužívá. Výsledek dopadl naštěstí dobře, ale se zveřejněním informace začnou aplikace, které ji zneužívají, pravděpodomně rychle přibývat.
Chyba se týká všech verzí Android od verze 2.1 až do 4.4.