Der eigentliche Angriffsvektor entsteht durch das fehlende Authentifizieren der Basisstation gegenüber dem Smartphone (ME). Der Catcher nutzt aber noch weitere Schwachstellen aus (siehe AV-A) um abgehende Anrufe abhören zu können. Je nach Entwicklungsaufwand können Catcher auch eingehende Telefonate Abhören. Eine weitere Entwicklungsstufe stellen die Semi-Aktiven Geräte da.
Das Problem bei GSM/CSD ist die fehlende Authentifizierung der Basisstation (BTS) gegenüber dem Endgerät. Hierdurch kann mit einer „fingierten Basisstation“, beziehungsweise einem IMSI-Catcher [1],[2] ein „Man In The Middle“-Angriff durchgeführt werden.