V ozadju se seveda izvaja zlonamerni skript, ki si zapomni njihovo aktivnost.
Pri napadu »drive-by pharming« vsiljivec na spletno stran podtakne zlonamerno kodo JavaScript, ki se ob obisku strani izvede v uporabnikovem računalniku. Skript nato prek skrbniškega vmesnika domačega usmerjevalnika popolnoma avtomatizirano in neopazno izvede prijavo v usmerjevalnik in spremeni originalne vnose DNS tako, da prikazujejo prirejen (spoofed) domenski strežnik, ki ga nadzira napadalec.