Een beveiligingsfoutje in Facebook liet gebruikers toe om de fotoalbums van andere gebruikers en groepen volledig te verwijderen.
Toen hij probeerde om via de Facebook Graph API een album te verwijderen, kreeg hij de feedback dat dit met deze api niet kon.
Daarom ging hij ervanuit dat dit met een andere API mogelijk wel zou kunnen.
Hij probeerde het met een Facebook for mobile toegangstoken en daarmee kon hij wel zomaar alle albums verwijderen.
Twee uur nadat de onderzoeker Facebook op de hoogte heeft gesteld, was deze bug al gefixed. De onderzoeker kreeg een beloning van 12.500 dollar.