A támadók első lépésként egy (egyes hírek szerint egy Github-on meglehetősen könnyelműen, sima szöveges formában szabadon elérhető) felhasználónév-jelszó párral authentikálva jutott be a SolarWinds egyik, termékek buildelésére használt szerverére és még nem teljesen világos, hogy hogyan, de képesek voltak backdoor-t elhelyezni a a SolarWinds Orion binárisaiban. Más források szerint több, viszonylag friss Orion verziót backdoor-oltak a támadók, amiket aztán nagy számú (legalább 18 ezer) ügyfél töltött le és telepített a saját hálózatában működő SolarWinds Orion telepítésére. Ezután a backdoor-olt Orion-okat felhasználva (amennyiben azok tudtak az Interneten keresztül kommunikálni a támadók infrastruktúrájával) a támadók már viszonylag könnyen képesek voltak hozzáférni az immár kompromittált hálózatban működő rendszerekhez.