Der findes en designfil på Facebook som gør det muligt for en potentiel ondsindet person at vedhæfte en binær fil til en besked sendt i det sociale netværk.

Facebook tillader naturligvis ikke at man via en besked kan vedhæfte binær kode som i princippet let kan være ondsindet, ja måske endda selvreplikerende. Af samme grund har de indført en politik der begrænser hvilke filtyper der kan knyttes til "vedhæft fil" funktionen. Se billede herunder:


Politikken forhindrer at f.eks .exe og andre potentielt binære og skadelige filer kan rundsendes på facebook. Hvis det forsøges vil Facebook frembringe en fejlmeddelelse for brugeren.

Men en mindre modifikation kan omgå denne begrænsning. Data sendes til Facebookmvia en POST: "Content-Disposition: form-data; name="attachment"; filename="cmd.exe". Ved at indlægge et mellemrun efter filendelsen som f.eks. filename="cmd.exe " snydes Facebook filteret og tillader at filen vedhæftes.

En sårbarhed af denne type kunne nemt konverteres til at blive misbrugt i f.eks. en Facebook orm. 

Facebook har bekræftet sårbarheden og er i gang med at korrigere hullet.

Sårbarheden er dokumenteret af Securitypentest på følgende URL:
http://www.securitypentest.com/2011/10/facebook-attach-exe-vulnerability.html