Spotify upptäckte en sårbarhet som möjliggjorde kapning av användarkonton på grund av hur Unicode-användarnamn hanterades. Problemet uppstod när funktionen nodeprep.prepare från Python-biblioteket Twisted, som användes för att kanonisera användarnamn, inte var idempotent för vissa Unicode-tecken. Detta ledde till att ett användarnamn kunde ha olika kanoniska former vid registrering respektive lösenordsåterställning, vilket utnyttjades för att ändra lösenord på befintliga konton. En tillfällig lösning implementerades genom att begränsa registrering av användarnamn till de som redan var i kanonisk form. Den underliggande orsaken var att nodeprep.prepare inte validerade att inmatningen följde Unicode 3.2-standarden, vilket var en förutsättning för dess idempotens.