Muthiyah cho hay, trong lúc duyệt Graph API của Facebook, ông tự hỏi: 'Điều gì sẽ xảy ra nếu ảnh của bạn bỗng nhiên biến mất mà bạn không hề hay biết?'. Ông thử tìm hiểu vấn đề và bất ngờ nhận thấy 'nhiệm vụ' không hề bất khả thi như ông nghĩ.
Muthiyah thực hiện việc xóa ảnh bằng cách sử dụng khóa truy cập di động (access token) - chuỗi ký tự cho phép một ứng dụng dành quyền truy cập vào tài khoản người dùng (như khi mở một phần mềm hay game, người dùng sẽ nhận được thông báo là ứng dụng đó sẽ có quyền truy cập vào tài khoản của họ và Facebook sẽ tạo một token cho hành động này).
[VIDEO] xóa ảnh bất kỳ ai trên Facebook
Còn cần thêm một vài thao tác nữa để việc xóa ảnh được hoàn tất, nhưng thay vì công bố điều này, Muthiyah thông báo cho Facebook và mạng xã hội đã lập tức vá lỗi trong vòng 2 giờ.
Blogger chuyên về bảo mật Mark Stockley nhận xét, nếu phát hiện trên rơi vào tay một hacker xấu, kẻ đó đã có thể gây ra nhiều thiệt hại cho Facebook và người dùng, hoặc buộc mạng xã hội phải trả một khoản tiền lớn. Nhưng Muthiyah đã không làm thế và Facebook đã thưởng cho ông 12.500 USD.