比利時安全信息研究員Arne Swinnen報告在Instagram(Facebook)，谷歌和微軟產品中，發現了一個共同的利用2FA驗證機制缺陷的驗證服務的漏洞。這些公司部署的2FA驗證機制 可通過短信的形式發送短驗證碼，同時也可以使用人工語音通話讀出驗證碼的形式驗證，Swinnen發現的漏洞則利用了后一種驗證方式的缺陷。這些語音通話通常將那些特定用戶的電話號碼和用戶賬號緊密互綁，Swinnen理論上可以利用此漏洞向這些服務的用戶賬戶發動攻擊，在實驗中他發現Instagram，谷歌和微軟Office 365賬戶使用相同的驗證機制因此攻擊可以在三方賬戶內同時奏效。

隨后他將任一賬戶與高級電話號碼綁定，而非普通電話號碼，當三個賬號服務中任一向用戶發送訪問驗證碼時，由于使用高級號碼的SMS可通過注冊通話并向來電公司收取話費。攻擊者可以通過創建虛假的Instagram賬號、谷歌或微軟賬號，并捆綁至一個高級電話服務（premium phone service）。通過互相指向和捆綁獲取話費利潤，使用自動腳本提高效率后，研究員估計以為攻擊者可以為所有賬號同時大量地發送2FA驗證請求，根據合法的話費收取獲得大量的利潤。他預計如果使用得當，攻擊者一年可通過此項攻擊從Instagram服務中獲得206.6萬英鎊的收入，谷歌43.2萬英鎊，微軟66.0萬英鎊。

研究人員在博客中闡述了漏洞的細節，并向微軟谷歌和facebook報告了相應的漏洞，獲得了Facebook 2000美元的獎勵，微軟500美元的獎勵，谷歌更是在公司的名人堂中刻上了他的名字。