攻撃者はまず脆弱性のある正規のWebサイトを探して、そこに悪意のあるLinkを埋め込みます。一般ユーザが偶然その正規Webサイトにアクセスし悪意のあるLinkをクリックすると悪意のあるWebサイトにリダイレクトします(攻撃者がiframeを利用している場合は、正規Webサイトのコンテンツにアクセスしているようで、実はすでに悪意のあるWebサイトにアクセスしている場合もある)。
リダイレクトされた悪意のあるWebサイトで攻撃用ソフトがユーザのPC(もしくはブラウザのプラグイン)にダウンロードされます。そして、そのPCからターゲットのサーバに対して不正な書き込みやアクセスが実行されてしまうのです。もちろん一般ユーザは何もしていませんが、ある意味攻撃者と思われてしまう場合もあります。攻撃者から見れば直接ターゲットに攻撃していませんので、捕まるリスクも低いのです。