Ошибка содержалась в широко использующемся разработчиками сайтов инструменте ImageMagick — библиотеке, обеспечивающей обработку изображений перед их отображением на странице.
ImageMagick поддерживается основными языками веб-программирования, включая PHP, Ruby, NodeJS, Python и другие. Баг позволял злоумышленникам исполнять на удаленном сервере произвольный код, «спрятав» специальную закладку в файле изображения.

О самой уязвимости стало известно в мае прошлого года, и большинство сайтов предприняли меры для защиты от нее. Однако в октябре Леонов сумел обойти применявшуюся Facebook защиту от подобных атак, основанную на брандмауэрах, используя метод создания DNS-туннелей. Спустя два дня после того, как он сообщил о своей находке в Facebook, соцсеть устранила уязвимость, а спустя еще десять дней перечислила Леонову 40 000 долларов.

Эта сумма является рекордной для программы поощрения «добропорядочных» хакеров, запущенной Facebook в 2011-м. В 2014-м 33 500 долларов получил от компании бразильский программист Реджинальдо Сильва, нашедший способ удаленно считывать любые файлы (включая файл с паролями системного администратора) на веб-сервере, а также исполнять произвольный код.