Plutôt que de lancer lui-même des requêtes sur le site web visé, le hacker se contente de créer sur son site internet un lien comportant la requête SQL à tester. Il attend alors que les robots d'indexation de Google passent sur son site et qu'ils suivent les liens hypertextes malicieux. Lorsque la victime regarde ses logs Apache et constate une tentative d'injection SQL, c'est GoogleBot qui apparaît.