Cookieにはさまざまな認証プロトコルを経て一度ログインしたという情報が含まれるため、これを入手した攻撃者は認証をすることなくシステムが利用できるという仕組みです。

近年ではセキュリティ強化のため、多くのクラウドサービスが「知識情報」「所持情報」「生体情報」のうち2つ以上を組み合わせる多要素認証（MFA）を実装していますが、Pass-the-cookie攻撃はこのような多要素認証が効かない点が脅威といえます。

また、攻撃者は乗っ取ったアカウントを利用して他のアカウントにフィッシング攻撃を仕掛けるなど、さらに攻撃を広げる可能性も指摘されています。