Čeprav napad poteka prek spletnega strežnika, ima ta zgolj vlogo pasivnega posrednika. Strežnik dejansko ignorira vse parametre URL za znakom »#«. Preostanek niza tako interpretira zgolj ranljiva aplikacija, v konkretnem primeru vtičnik Adobe Reader, na uporabnikovi strani.