攻撃者の狙いは、本来彼らが実現したい不正行為をより確実なものとすることであり、匿名性やCPU／メモリリソースを確保する手段として、脆弱なホストを積極的に悪用する。
本来彼らが実現したい行為とは、迷惑メールを大量にばらまいたり、彼らの個人的な趣味のため、掲示板への書き込みや成人向けサイトへ匿名性を保持したままアクセスすることなどが挙げられる。

「HTTPなのにSMTPの通信？」と思われるかもしれないが、HTTP/1.1（RFC 2616）のCONNECTメソッドを用いることで、SMTPに限らずTCPの通信をトンネリングさせることができる。
もともとCONNECTメソッドとは、通常のHTTPプロキシが代理応答のできない通信を透過的に中継（トンネリング）させるために考案されたものだ。その代表的な例がSSLの通信である。

まず80/tcpで何が稼働しているのかを調査したうえで、稼働しているのがApacheであれば、mod_proxyの記述を調べる。httpd.confに、

ProxyRequests On
AllowCONNECT 443 80 25

のような記述がある場合は非常に危険である。この場合、443（HTTPS）、80（HTTP）、25（SMTP）のポートがCONNECTによって中継可能であることを意味している。
なお、mod_proxyを利用していなくても念のため設定を確認しておいた方がよいだろう。書き換えられている可能性もあるからだ。