A companhia está muito interessada em descobrir métodos que os invasores utilizam para roubar dados dos usuários da rede social, e está pagando U$ 40 mil (cerca de R$ 160 mil) por métodos de invasão para roubo de dados que podem ser executados sem o auxílio das vítimas, e U$ 25 mil (cerca de R$ 100 mil) para aqueles que necessitam do auxílio da vítima (clicar em um link, por exemplo) para funcionar. A diferença de valores é porque o Facebook já possui ferramentas que evitam o compartilhamento de links de phishing dentro da própria rede social, então ela considera que o único modo de esse tipo de ataque afetar seus usuários é se esses links forem enviados a eles fora da rede, como por SMS ou via e-mail.
A participação no programa é livre, e as recompensas servem não apenas para falhas encontradas no Facebook em si mas também em outros aplicativos da empresa, como o WhatsApp e o Instagram. A rede social não exige que a cadeia completa da falha seja enviada para demonstrar como funcionaria um possível ataque, mas exige que o documento de relatos de erros seja enviado em inglês, e o programador precisa se comprometer a não divulgar e nem revelar detalhes técnicos sobre a mesma antes da confirmação pela empresa de que a falha foi corrigida.
Além disso, o Facebook só está recompensando falhas descobertas que permitam o roubo de dados de usuários; aquelas que comprometem o funcionamento de ferramentas ou do serviço como um todo não possuem nenhuma recompensa prometida. A ideia é evitar novos ataques como o de setembro, quando hackers tiveram acesso a mais de 50 milhões de perfis.