Bei der Funktion werden einmal eingegebene Formulardaten im Browser behalten und später an geeigneter Stelle automatisch vorschlagen und einfügt.

Angreifer könnten Nutzer von Browsern mit der Schwachstelle auf präparierte Internetseiten locken, auf denen sie vergleichsweise Unkritisches wie Namen oder Mail-Adresse eingeben sollen. Die Seiten sind dem Bericht zufolge allerdings mit unsichtbaren Formularfeldern ausgestattet. Die Autofill-Mechanismus versuche, so viele Informationen in so viele Felder einzutragen, wie er findet - und zwar auch in Textboxen, die für den Anwender unsichtbar sind. So könnten im Hintergrund weitere Informationen abgegriffen werden, beispielsweise die Adresse, die Telefonnummer oder sogar Kreditkartendaten.