Malware byl objeven nejméně ve třech balíčcích pro Arch Linux zveřejněných v repozitáři AUR (Arch User Repository). Ten je určen pro balíčky zveřejňované samotnými uživateli a jednou z jeho vlastností je i to, že dovoluje komukoliv převzít balíčky opuštěné původním autorem.
V tomto případě převzal uživatel xeactor balíčky s názvy acroread, balz a minergate a přidal do nich vlastní kód stahující malware z ptpb.pw, webu pro zveřejňování krátkých ukázek kódu (podobně jako Pastebin). Malware nijak aktivně neškodil, ale sbíral data o uživatelích, zřejmě jako předehru k budoucím akcím. Balíčky neobsahovaly aktualizační mechanismus malware, takže pro úpravu chování by musel autor vydat novou verzi.
Balíčky byly velmi rychle objeveny a odstraněny, stejně tak byl zablokován účet jejich tvůrce.