O Bagz chega como anexo de e-mail e usa truques de engenharia social para fazer com que o usuário o execute. Uma das mensagens, em inglês, diz que uma suposta mensagem do usuário está sendo devolvida e pede que ele leia mais informações no documento anexado.

Em alguns casos, o anexo vem no formato .zip. Em outros, num falso formato .doc. Ou seja, é um arquivo executável com extensão .doc seguida de longo espaço e, depois, a verdadeira extensão: .exe.

Uma vez instalado, o Bagz coleta endereços de e-mail na máquina invadida e usa um motor SMTP próprio para enviar as mensagens contaminadas. Antes disso, desabilita o firewall para evitar o bloqueio das mensagens. O invasor tem grau de risco médio-baixo. Sua característica mais forte é capacidade de propagação, embora os danos produzidos sejam baixos.