Tfh meglátogatod a csúnyhacker.com oldalt(vagy a kedvencoldalam.com oldalt, ahol egy XSS rést kihasznált a csúnyhacker, de ez már off). Ekkor hacsak nincs letiltva a javascript a böngésződben a csúnyhacker.com oldalon lévő js kód autómatice lefut nálad. A kód első dolga, hogy létrehoz image objecteket amiknek a src-jéhez belső hálós ip-ket rendel (pl:192.168.0.1, stb...), és onload ill onerror fgv-eket hozzárendelve már is eldönti, hogy az adott host ip él-e. Gyakorlatilag egy javascript ping. Következő lépésben versenyeztetünk egy timer függvényt és egy iframe onload-ját, aminek az src-je a sikeresen pingelt belső ip. Ha az iframe onload "győz", akkor a belső ip-n egy webszerver csücsül(ami lehet pl egy apache vagy a cikkben emlegetett router webes felülete). Ekkor nem árt eldönteni, hogy mivel is van dolgunk. Szintén az image-hez fordulunk segítségért hasonlóan a pingeléshez, és ha pl a src-ként megadott belső-ip-webszerver/pageerror.gif-ra onload történik akkor jó eséllyel egy májkroszoft IIS-el van dolgunk, míg ha pl a belső-ip-webszerver/UI_Linksys.gif a nyerő, akkor minő meglepetés egy Linksys WRK54G-be akadtunk, stb, stb...
Namost ha megvan a konkrét típus, akkor dinamikusan generált GET/POST kérésekkel megpróbálunk belépni az adott típus default név/jelszavával, és ha voálá sikerült, akkor onnantól azt állítunk át amit csak akarunk, igen pl a DNS szerver ip-jét. Ekkor a gyanútlan szörfölő összes webes forgalma az általunk felállított DNS szerveren folyik át, és...innentől mindenkinek a fantáziájára bízom a továbbiakat.