Lors de la visite de la victime, l'attaquant déclenche une opération sur l’application vulnérable en utilisant implicitement les credentials de la victime.
On suppose qu’une requête de type GET ne peut pas déclencher d’opération sensible car autrement il suffirait de rediriger l’utilisateur vers l’URL en question.