Secondo alcuni hacker, Facebook sta ignorando una grave lacuna riguardante le limitazioni allo sviluppo di applicazioni terze, funzionanti sulla piattaforma.

Il problema sta nel modo in cui le API Facebook lavorano, secondo due hacker che le hanno studiate, esse possono anche permettere che le applicazioni cambino deliberatamente la password dell'utente che le utilizza.

Le API sono strutturate in modo che, ogni applicazione che richiede accesso alle informazioni personali dell'utente tramite protocollo FQL, debba essere dotata di un identificativo univoco che Facebook le attribuisce. Questo vale per informazioni come l'indirizzo email dell'utente ed altri dati privati, ma è possibile accedere a molti altri dati personali senza che venga richiesta alcuna identificazione.

Gli hacker fanno notare che la chiave di identificazione richiesta tramite API conferisce troppo potere alle app, inoltre è troppo facile ottenerla: un programmatore può ottenere la chiave API ed abusarne mentre l'applicazione per cui è richiesta è ancora in via di sviluppo. Prima che vengano rilasciate, le applicazioni hanno accesso ad un'enorme quantità di dati.

E' addirittura possibile estrarre dati dai profili utente, senza che la chiave API sia disponibile: una chiave può infatti essere estratta da un'applicazione legittima e, una volta che questa è installata dai vari utenti, diviene possibile visualizzarne tutte le informazioni private, anche se questi impostano un livello di privacy elevato.

Un portavoce Facebook ha minimizzato la questione affermando che "cio che queste persone chiamano un attacco FQL Injection è semplicemente il normale modo di funzionamento delle API Facebook".

Gli hacker hanno però ribattuto che una tecnica di FQL Injection permette di mandare query dirette alle API, bypassando le applicazioni.

Come prova della loro tesi hanno prodotto un codice proof-of-concept, che al momento è ancora in sviluppo, ma permette di applicare la tecnica ad un profilo utente con una selezionata app installata.