zjednodušene to fungovalo nasledovne. Ak ste vo formulári eHranica zadali meno cudzej osoby a jej rodné číslo a potom vlastné mobilné číslo a zadali ľubovoľný email, tak na zadaný email prišiel COVID-19-PASS cudzej osoby. Rodné číslo sa dalo zistiť na štátnom portáli, ktorý overil, či je rodné číslo validné. Detaily zistenia etických hekerov zo spoločnosti Nethemba nájdete tu. 

V skutočnosti zraniteľnosť odhalili úplne náhodou pri bežnom používaní eHranice. Nešlo o cielený útok na Národné centrum zdravotníckych informácií (NCZI). Nethemba tvrdí, že neprekonali žiadne bezpečnostné opatrenie, lebo tam žiadne nebolo. Na demonštráciu zraniteľnosti využili výhradne verejne dostupné údaje. Tento postup by zvládol teoreticky každý. Hackeri získali zdravotnícke údaje niektorých politikov, nakoľko ich dátum narodenia je verejne dostupnou informáciou. Nethemba štát pred medializáciou upozornila na nedostatky a dodali všetky detaily. Vďaky sa však nedočkali.