Generalmente este tipo de software suele apoyarse en librerías Javascript como, por ejemplo, PluginDetect para obtener las versiones de los plugins utilizados y ejecutar así el exploit correspondiente.
Lo más frecuente es que utilicen vulnerabilidades ya conocidas y parcheadas y se busquen víctimas que no tenga versiones con esos problemas solucionados.
A veces se realiza un solo pago pudiendo incluso tener un período de soporte técnico, por si el comprador tiene alguna duda, e incluso con actualizaciones.
Otras veces se realiza un pago semanal o mensual.
Incluso a veces el pago se realiza por número de infecciones exitosas (pay-per-install).