Bromium Labs na svém blogu předvádějí, jak je možné vzdáleně spustit kód na libovolném zařízení s OS Android. Celý problém je ve zranitelnosti CVE-2012–6636 z roku 2012. Ta byla sice již dávno opravena v Androidu verze 4.2, nicméně vzhledem k tomu, že oprava by nebyla zpětně kompatibilní se starými aplikacemi, je oprava pro některé aplikace vypnuta i nadále. Podle výzkumníků jde o nejméně 12 % aplikací v obchodu Google Play.
Pokud taková zranitelná aplikace stahuje za běhu JavaScriptový kód nešifrovaným protokolem HTTP, což s oblibou dělají například reklamní systémy, je velmi jednoduché do takového kódu vložit škodlivý kód, který se spustí na zařízení bez vědomí uživatele. K úspěšnému útoku stačí například transparentní proxy server na Wi-Fi hotspotu.