מתקפת דיוג אשר ניצלה באג באתר האינטרנט של נספרסו, הצליחה להתחמק מזיהוי על ידי ניצול כלי אבטחה שלא הצליחו למצוא קישורים זדוניים מקוננים או מוסתרים. מתקפת הדיוג התחילה באימייל דיוג שנראה כאילו נשלח מעובד בבנק אוף אמריקה, עם ההודעה "אנא בדוק את פעילות הכניסה האחרונה שלך ב- Microsoft". במידה ולחץ הקורבן על הקישור, הוא הופנה לכתובת URL לגיטימית אך נגועה, בבעלות נספרסו. מכיוון שהכתובת לגיטימית, לא הפעיל אתר נספרסו החטוף אזהרות אבטחה. לאחר מכן סיפקה כתובת ה- URL של נספרסו קובץ html זדוני שנראה כמו דף התחברות של מיקרוסופט. דף זה נועד ללכוד את אישורי הכניסה (שם משתמש וסיסמא) של הקורבן.
חוקרי סייבר הסבירו כי ההאקרים עשו שימוש בפגיעות הפניה פתוחה בדף האינטרנט של ענקית הקפה: "פגיעות הפניה פתוחה מתרחשת כאשר מצליחים האקרים להפנות משתמשים לכתובת URL חיצונית שאינה מהימנה, דרך דומיין מהימן. הדבר אפשרי כאשר אתר אינטרנט או URL מאפשר לשלוט בנתונים ממקור חיצוני. האקרים מודעים לעובדה שחלק מספקי האבטחה בודקים רק את הקישור הראשוני ואינם מבצעים בדיקות עומק לגילוי קישורים נסתרים. עם הידע הזה, הגיוני שההאקרים יארחו את ההפניה מחדש באתר נספרסו, מכיוון שהדומיין הלגיטימי יספיק ככל הנראה כדי לעקוף ספקי אבטחה רבים, לזהות רק את כתובת האתר המכובדת ולא את הזדוניות שלאחר מכן".
מתקפת דיוג זו הופעלה ממספר דומיינים שונים, אולם היא השתמשה באופן עקבי בכתובת ה- URL הנגועה של נספרסו ובאימייל המזויף של בנק אוף אמריקה.