Artikeln beskriver en CSRF-sårbarhet i Facebooks "Login for Devices" OAuth-flöde som kunde leda till stöld av användares access_tokens. Sårbarheten uppstod på grund av bristande CSRF-skydd vid anslutningen av user_code till application_code i mobilversionen av enhetsinloggningsflödet. En angripare kunde utnyttja detta genom att lura ett offer att godkänna en enhetsinloggning, vilket gav angriparen offrets access_token. Sårbarheten var svår att utnyttja i praktiken då den krävde att offret redan godkänt en specifik typ av applikation, vilket gjorde den till en "perfect storm"-sårbarhet. Facebook åtgärdade problemet genom att först införa en ombekräftelseprompt och senare genom att implementera CSRF-skydd med OAuth "state"-parametern.