[[Code Blue]], uporablja "[[Web Server Folder Traversal]]" šibkost, da okuži druge naprave. Ta različica izbere naključni [[IP-naslov]] in pošlje [[FTP]] zahtevo na ciljno napravo. Zahteva povzroči, da se na ciljno napravo naloži datoteka [[HTTPEXT.DLL]] v mapo za [[IIS]], s privilegiji za izvršitev nekaterih ukazov na strežniku (skripte, msadc, iisadmin, _vti_bin, iissamples, iishelp, webpub). Črv na okuženi napravi izvaja datoteko [[DLL]] z zahtevo [[URL]], ki povzroči da datoteka DLL spusti datoteko [[SVCHOST.EXE]]<ref>''Obstaja legitimna svchost.exe datoteka v Windows sistemski mapi, ga ne smemo zamenjati za Codeblue, saj je pomembena sistemska datoteka . Codeblue se nahaja na C:\ (samo na trdem disku in ne v mapah)''</ref> v C:\ (na [[trdi disk]], na večini sistemov, niso v mapah). Po tem se črv Codeblue razlikuje od črva Codered, ker je pisan direktno na trdi disk.<blockquote>'''''Opomba''''' '': Obstaja legitimna svchost.exe datoteka v Windows sistemski mapi, ga ne smemo zamenjati za Codeblue, saj je pomembena sistemska datoteka . Codeblue se nahaja na C:\ (samo na trdem disku in ne v mapah)''</blockquote>Črv ustvari "[[local machine registry key]]", s podmapo "[[Domain Manager]]" in doda možnost datoteki "c:\svchost.exe", da se črv sprosti, ko se naprava zažene. Črv spusti [[VBScript|VBS]] datoteko, ki odstrani nekatere datoteke v IIS, s končnicami .IDA, .IDQ in .PRINTER.
Ko je ura med 10:00 in 11:00 dopoldne, črv izvede [[DOS (razločitev)|DoS]] napad na spletno stran: http://www.nsfocus.com/, Kitajske informacijsko-varnostne službe.
