در این شیوه هكرها PDF آنلاین بیضرری را ایجاد میكنند كه گوگل آن را یافته و بهعنوان فایل HTML شناسایی و ایندكس میكند و پس از آن هكرها فایل را به یك فایل HTML تغییر میدهند.
بر اساس این گزارش، احتمالا هكرها فایل مذكور را بهصورت خودكار بررسی میكنند تا دریابند چه زمانی توسط گوگل ایندكس میشود و از آنجا كه گوگل متوجه تغییر یافتن فایل نمیشود، برای نخستین بار تهدیدی نیافته و لینك مذكور باقی میماند.
سپس فایل فلش مخربی در فایل HTML جاسازی میشود و لینكهای موجود در آن بازدیدكننده را به PDF دیگری هدایت میكنند كه بعدها به یك صفحه وب با فایل فلش مخرب تغییر شكل مییابد. نتیجه نهایی كل این عملیات كلاهبرداری آنتیویروس ساختگی است.