Instagram เข้ารหัสเป็น HTTPS "เฉพาะ" เมื่อกำลังดูภาพที่ส่งตรงถึงตัวเรา แต่กลับไม่เข้ารหัสเมื่อเราดูไทม์ไลน์ตามปกติ แต่การเข้าถึงภาพที่ส่งตรงกลับใช้ cookie ชุดเดียวกับการดูไทม์ไลน์ที่ไม่เข้ารหัส

แนวทางการเจาะระบบเช่นนี้ไม่ใช่เรื่องแปลกใหม่นัก โดยเหยื่อจะต้องใช้ Wi-Fi ที่ไม่เข้ารหัส หรือเข้ารหัสแบบ WEP เพื่อให้ถอดรหัสได้ จากนั้นก็ดักฟังทุกข้อความที่ส่งไปยังเครื่อง i.instagram.com เพื่อตรวจหา cookie สำหรับการล็อกอิน จากนั้นใช้ cookie ชุดเดียวกันเข้า URL https://i.instagram.com/api/v1/direct_share/inbox/ เพื่อไปดึงภาพที่ส่งตรงถึงตัวเรา

กระบวนการนี้ไม่ได้ใช้ความรู้พิเศษอะไรนัก วิศวกรคอมพิวเตอร์ที่รู้จักเครื่องมือตรวจสอบเครือข่ายบ้างน่าจะทำได้เป็นส่วนใหญ่ ตัว Stevie Graham ผู้รายงานปัญหานี้ก็ระบุว่ากำลังสร้างเครื่องมือเฉพาะ หากสำเร็จเมื่อไหร่คนทั่วไปที่ไม่ต้องรู้อะไรนักก็อาจจะปลอมตัวเป็นคนอื่นได้โดยง่าย

ช่องโหว่แบบเดียวกันนี้เกิดขึ้นได้เสมอกับทุกเว็บที่ไม่ได้เข้ารหัสทั้งหมด ในไทยเองเว็บบอร์ดที่ไม่ใช่เว็บอีคอมเมิร์ช ก็มักไม่เข้ารหัสกันเป็นส่วนใหญ่