Представьте себе, что вы находитесь, скажем, в зале аэропорта, ожидая посадки на рейс. Вы раскрываете свой ноутбук, чтобы посмотреть, нельзя ли тут подключиться к открытой беспроводной сети. Следует, однако, иметь в виду, что существует множество свободно доступных средств, позволяющих злоумышленникам создавать ложные точки беспроводного доступа, дабы осуществлять маршрутизацию ваших интернет-соединений через свой компьютер. Вы подсоединяетесь к такой фальшивой сети, полагая, что всего лишь глянете на результаты очередной игры своей любимой команды. Несколько секунд спустя одно из приложений в вашем компьютере сообщает, что вышло новое обновление программы. Вы соответственно даёте добро на установку апдейта. Можно сказать, тут-то вас и отоварили.

Можно, конечно, не одобрять обновление, но и это спасает не всегда. Функции автоапдейта, часто встраиваемые в программы, начинают работать сами и скачивают фальшивое обновление программы в ваш компьютер сразу же, как только о нём узнают. И только потом раз за разом напоминают о наличии апдейта, который можно установить. Вполне вероятно, что ко времени очередного напоминания пользователь уже доберётся до места назначения и никогда не узнает, что апдейт скачивался через скомпрометированную сеть.

Ещё тогда подчёркивалось, что Evilgrade особенно эффективно работает с уязвимостью в механизме апдейтов программы iTunes для Windows. Амато описывал эту уязвимость следующим образом: "iTunes проверяет бинарный код на предмет того, имеет ли он цифровую подпись Apple. Однако вредоносный контент можно встраивать в описание, открывающее браузер, - так что пользователь полагает, будто апдейт пришёл от Apple".

Известно, что Франсиско Амато в июле 2008 года обращался непосредственно к команде обеспечения безопасности в продукции Apple, чтобы предупредить о выявленной дыре.