Zu diesem Zweck werden intern verschiedene Versionen eines Objektes gehalten, die z. B. durch Zeitstempel oder fortlaufend erhöhte Transaktionsnummern voneinander unterschieden werden.
Durch Abfrage von nicht existierenden Domainnamen kann ein Fälschungsversuch beliebige Male wiederholt werden, wenn in einer Menge von gefälschten Antwortpaketen nicht die richtige Transaktionsnummer erraten wurde.
Sendet der angegriffene Resolver eine identische DNS-Anfrage mehrfach mit verschiedenen Transaktionsnummern, erhöht sich die Erfolgswahrscheinlichkeit aufgrund des Geburtstagsparadoxons erheblich.
Der Benutzer wird dann auf einer solchen gefälschten Seite etwa dazu aufgefordert, in ein Formular die Login-Daten oder auch Transaktionsnummern für sein Onlinebanking einzugeben.
Handelt es sich um Geheimnummern, so muss der Missbrauch durch einen „Zweitschlüssel“ gesichert sein, etwa durch eine Automatenkarte oder im Falle von Transaktionsnummern durch ein Kennwort.