Solitamente questo tipo di attività viene fatta da dei bot sviluppati per creare dei log nel web server di destinazione. Se il sito ha le statistiche tipo awstat e webstat che mostrano i top referer, l'attaccante può eseguire una specie di injection in quella pagina creando delle richieste HTTP "fittizie" (o fantasma come le chiami tu).