Tvrtki Detectify pošlo je za rukom dokazati postojanje ranjivosti Googleova produkcijskog poslužitelja te ujedno dobiti i 10.000 dolara nagrade
Ranjivost se nalazi u Googleovoj galeriji dugmadi alatne trake (Google Toolbar Button Gallery) koji korisnicima omogućava prilagođavanje alatne trake s novim dugmadima. Istražiteljima je bilo lako stvoriti njihovu vlastitu dugmad uploadanjem XML datoteka koji sadrže metapodatke za stiliziranje ili druge značajke. Ta opcija Googleove tražilice je ranjiva na XML External Entity (XXE), oblik napada ubacivanjem XML koda koji omogućava napadačima da proguraju loše konfigurirani XML parser s neželjenim funkcijama što može kompromitirati sigurnost aplikacija na webu.
XML parseri slijepo interpretiraju svaki DTD (Document Type Definition) od prispjelih korisnikovih XML dokumenata. Na taj način parseri mogu učiniti mnogo štete. Neke od mogućnosti za napadače nakon uspješno izvedenog napada su pristup lokalnim datotekama, izvođenje SSRF-a (server-side requests forgery), DoS napada te čak i udaljenog pokretanja koda.
Stručnjaci su ranjivost odmah prijavili Googleu, za što su dobili nagradu u vrijednosti od 10 tisuća dolara.