Hittills har 22 API:er kopplade till 16 olika tjänster som alla är sårbara för samma metod upptäckts. En angripare kan använda den information som returneras i felkoden när ett API anropas från en icke-existerande användare till att kartlägga vilka roller och användare som finns i en organisation.
Grunden till sårbarheten är att AWS proaktivt validerar alla resursbaserade policys kopplade till tjänster som till exempel Amazon Simple Storage Service (S3). Identiteten på de som kan använda tjänsten specificeras vanligen i ett specifikt fält. Om en begäran kommer från en resurs där användaren är okänd och nekas access kommer ett svar med felmeddelandet att lämnas tillbaka. Det svaret kan innehålla användbar information för en angripare.
Eftersom denna typ av felmeddelande inte loggas på något annat ställe än hos den som gör anropet är attackerna svåra att upptäcka och skydda sig emot. En angripare får därigenom gott om tid på sig att leta runt oupptäckt och kartlägga en verksamhet. Angriparen kan över tid skaffa sig kunskap om vilka användare som existerar, deras behörighetsnivåer och hur organisationen är uppbyggd. Denna information kan sedan användas, till exempel för riktade angrepp mot enskilda individer.
Denna typ av attack är svår att skydda sig mot men det finns saker att göra för att minska sin exponering. Till exempel att logga och övervaka alla försök till inloggning av användare, använda tvåfaktorsinloggning, ta bort inaktiva användare och roller så fort som möjligt för att minska attackytan, namnge användare och roller på ett sådant sätt att de blir svåra att gissa och undvika att skapa nya användare i AWS, till exempel genom att istället använda en extern identitetsleverantör.