ردفرن اظهار می کند نقص به این معناست که هر شماره تلفنی را می توان در درخواست های واضح متنی وارد کرد. انجام چنین کاری باعث تولید نام و آدرس ایمیل واقعی مالک می شود.
وی می افزاید: "این سایت یک درخواست AJAX را بر API ایجاد کرده بود که بر HTTP متن خالی، شماره تلفن همراه من را در URL عبور داده بود."
"این پاسخ شامل Three شماره اکانت، نام کامل من، آدرس ایمیل من و برخی از مدارک شناسایی دیگر بود.
تایید می کنم که این موضوع، با وارد کردن شماره تلفن یک دوست نمونه ای برای من بود و با اطمینان کافی از نام آنها و جزئیات مخاطب به من ارائه شد.
واضحا، این آشکارسازی اطلاعات ایده آل نیست. توانایی پیدا کردن صاحب اکانت و جزئیات مخاطب درباره هر سه شماره تلفن برای حملات مهندسی اجتماعی، تعقیب مخفیانه یا اسپم راحت خواهد بود."
ردفرن می افزاید که حمله کنندگان شماره تلفن های بریتانیایی را مهار کنند و برای گردآوری یک پایگاه داده از مشتریان Three، API را فراهم نمایند.
وی می گوید: "من این امر را یک شاخه کاملا جدی از حریم در نظر می گیرم."
به نظر نمی رسد Three از اطلاعات شخصی برای هر بخش آشکار ارزیابی، طبق گفته ی ردفرن استفاده نماید.
وی بیان می کند تلکو به درخواست وی برای آگاه شدن از زمان بستن شدن حریم خصوصی پاسخ نداده است.