Hakkurit käyttävät joutokäynnin skannausta, joka tunnetaan myös nimellä zombie -skannaus, skannaamaan lähetyksen ohjausprotokollan (TCP) portteja yrittäessään kartoittaa uhrin järjestelmää ja selvittää sen haavoittuvuudet. Tämä hyökkäys on yksi kehittyneemmistä hakkeritekniikoista, koska hakkeria ei tunnisteta hänen oikealla tietokoneellaan, vaan hallitun zombitietokoneen avulla, joka peittää hakkerin digitaalisen sijainnin. Useimmat järjestelmänvalvojat vain estävät hakkerin Internet -protokollan (IP) osoitteen, mutta koska tämä osoite kuuluu zombitietokoneelle eikä hakkerin todelliselle tietokoneelle, tämä ei ratkaise ongelmaa. Joutokäynnin jälkeen skannaus näyttää portin, joka on joko auki, suljettu tai estetty, ja hakkeri tietää mistä aloittaa hyökkäys.
Tyhjäkäynnin skannaushyökkäys alkaa siitä, että hakkeri ottaa haltuunsa zombitietokoneen. Zombitietokone voi kuulua tavalliselle käyttäjälle, ja kyseisellä käyttäjällä ei ehkä ole aavistustakaan siitä, että hänen tietokonettaan käytetään haitallisiin hyökkäyksiin. Hakkeri ei käytä omaa tietokonettaan skannaukseen, joten uhri voi estää vain zombin, ei hakkeri.
Otettuaan hallinnan zombista hakkeri hiipii uhrin järjestelmään ja skannaa kaikki TCP -portit. Näitä portteja käytetään yhteyksien vastaanottamiseen muista koneista, ja niitä tarvitaan tietokoneen perustoimintojen suorittamiseen. Kun hakkeri suorittaa joutokäynnin, portti palaa yhtenä kolmesta luokasta. Avoimet portit hyväksyvät yhteydet, suljetut portit kieltävät yhteydet, ja estetyt portit eivät vastaa.
Hakkerit etsivät avoimia portteja, mutta myös suljettuja portteja voidaan käyttää joihinkin hyökkäyksiin. Avoimen portin yhteydessä porttiin liittyvässä ohjelmassa on haavoittuvuuksia. Suljetut ja avoimet portit osoittavat haavoittuvuutta käyttöjärjestelmän kanssa. Joutokäynnin skannaus harvoin käynnistää hyökkäyksen; se vain näyttää hakkerin, mistä hän voi aloittaa hyökkäyksen.
Jotta järjestelmänvalvoja voi puolustaa palvelintaan tai verkkosivustoaan, järjestelmänvalvojan on työskenneltävä palomuurien ja sisäänpääsösuodattimien kanssa. Järjestelmänvalvojan on tarkistettava, ettei palomuuri tuota ennustettavia IP -sekvenssejä, mikä helpottaa hakkerin valmiustilan tarkistusta. Sisäänpääsysuodattimet on asetettava estämään kaikki ulkopaketit, erityisesti ne, joilla on sama osoite kuin järjestelmän sisäinen verkko.