Злоумышленники могут закрепиться в системе и повысить свои привилегии путем запуска вредоносного содержимого, активируемого демоном мониторинга событий (emond). Демон мониторинга событий emond — это демон запуска, который получает события от различных служб, применяет к ним простую систему правил и выполняет определенные действия. Бинарный файл emond, расположенный по пути /sbin/emond, загружает правила из каталога /etc/emond.d/rules/ и выполняет соответствующие действия при наступлении явно заданного события.

Файлы правил хранятся в формате PLIST; в каждом правиле указаны имя события, тип события и действие, которое необходимо предпринять. В качестве примеров типов событий можно привести запуск системы и аутентификацию пользователя. Примерами действий являются выполнение системной команды и отправка электронного письма. Служба emond не будет запущена, если отсутствует файл по пути QueueDirectories (по умолчанию /private/var/db/emondClients), указанному в конфигурационном файле демона запуска/System/Library/LaunchDaemons/com.apple.emond.plist.

Злоумышленники могут эксплуатировать эту службу, написав правило для выполнения команд при наступлении определенного события, например при запуске системы или аутентификации пользователя. Злоумышленники также могут повысить свои привилегии с администраторских до root, поскольку служба emond выполняется службой демона запуска с привилегиями root.