Beveiligingsonderzoeker BobDaHacker ontdekte het probleem toen hij zich registreerde bij het FIFA Agent-platform. Dit lukte zonder dat werd gecontroleerd of hij werkelijk een voetbalagent was. Het systeem deed alleen een check aan de gebruikerskant, niet op de server zelf.
Hierdoor kreeg hij toegang tot het Streaming Management-platform van de FIFA. Daarop staan alle videostreams van alle camera's in voetbalstadions tijdens het WK voor mannen in 2026. Deze streams waren per wedstrijd gegroepeerd, inclusief de technische gegevens die nodig zijn om de streams te bekijken of door te sturen naar omroepen.
De onderzoeker ontdekte dat de FIFA voor elke stream dezelfde beveiligingssleutel gebruikte. Hierdoor kon hij niet alleen de streams bekijken, maar deze ook stopzetten of vervangen door zijn eigen video's. Verder had hij toegang tot live statistieken en achtergrondinformatie die commentatoren tijdens wedstrijden gebruiken, en kon hij deze informatie aanpassen.
Omdat de FIFA geen manier heeft om beveiligingsproblemen te melden, benaderde de onderzoeker onder andere de FBI. Een dag later was het beveiligingslek verholpen. Gebruikers kunnen nu niet meer zonder autorisatie bij de streams of statistieken komen.
