Artikeln beskriver två "WontFix"-sårbarheter i Facebook Connect som möjliggör kapning av användarkonton. Den första sårbarheten utnyttjar en CSRF-attack på Facebooks inloggning för att logga in offret på angriparens Facebook-konto, vilket sedan kan kopplas till offrets konto på en tredjepartswebbplats. Den andra sårbarheten involverar "signed_request" (används av Facebooks JS SDK) som kan läckas via 302-omdirigeringar till en angripares domän, vilket leder till kontoövertagande. Författaren rekommenderar att undvika Facebook Connect för kritiska applikationer och föreslår traditionella lösenord, eller att implementera starka åtgärder som CSRF-token för sociala anslutningar och vitlistning av "redirect_uri". Facebook åtgärdade den första buggen den 7 december 2014, men en förbikoppling existerar fortfarande, vilken författaren valde att inte publicera.