A facebook app nyitvahagyja mondjuk a localhost:8080-t. A böngésző betölti az oldalt. Az oldalban lefut egy javascript, amelyik pedig a localhost:8080-ra csatlakozik. Ha ez megvan, akkor innentől működik az adatcsere. A weboldal elküld egy egyedi azonosítót (pl. USER-12345), amikor nyomizol a weboldalon, például a weboldal keresőjébe beirod hogy "elefánt rubik kockát rak ki" az átküldésre kerül a localhost:8080-ra ("USER-12345 searched elefánt rubik kockát rak ki"), a facebook-on be vagy jelentkezve tehát ők tudják hogy Kis Pista vagy, majd pedig ezt az infót egy hátsó csatornán szépen elküldik az eredeti weboldalnak ("Küldtél nekem egy USER-12345 azonosítót. A hozzá tartozó profil Kiss Pista, és egyébként arra keresett hogy elefánt rubik kockát rak ki"), igy már meg is történt a beazonosításod.
Ezért olyan büntetést kellene kapnia a Facebook-nak hogy beleszakad.