Přečinu se měl údajně dopustit neznámý pachatel tím, že z neznámého místa provedl přístup do počítačové sítě MPSV, kde obnovil tři emailové schránky zaměstnanců, kteří z MPSV odešli ke konci roku 2017. Prostřednictvím obnovených přístupů se pak podle prvotního podezření měl zmocnit dat z těchto emailových schránek, zálohovaných provozovatelem systému.

Podle vyjádření policie však došlo k obnovení účtu na základě systémového nastavení, kdy všichni tři zaměstnanci museli být na přelomu roku 2017/2018 opětovně přijati na MPSV. Nebyli totiž formálně propuštěni, ale jen postaveni mimo službu a stále pobírali část platu. Vzhledem k provázanosti personálního systému SAP mimo jiné s Exchange systémem, poskytujícím poštovní služby, došlo pak k automatické obnově emailových schránek. „Podezřelou“ aktivitou tedy nebyl přístup do schránky, ale systémový dotaz, prováděný automaticky například při zálohování či mazání pošty. Emailové schránky navíc neobsahovaly žádná citlivá data.