Clifford Stoll arbeitet am Lawrence Berkeley National Laboratory (LBNL) als Astronom, wird jedoch in Ermangelung von Arbeit in die Computerabteilung versetzt, wo er Programme für seine ehemaligen Kollegen schreiben soll. Als ein Abrechnungsfehler von 75 Cent festgestellt wird, soll Stoll das aufklären, um sich in die Materie einzuarbeiten. Tatsächlich schafft Stoll es, einen Hacker im Netz des LBNL aufzuspüren und dessen Sitzungen jeweils mittels eines Druckers zu protokollieren. So wird er Zeuge erfolgreicher und erfolgloser Computereinbrüche in zahlreiche Militärcomputer. Da das FBI kein Interesse an dem Fall hat, schaltet Stoll die CIA ein, die jedoch nicht zuständig ist, und auch die NSA zeigt sich offiziell nur mäßig interessiert.
Als Stoll klar wird, dass er die Verbindung des Hackers zurückverfolgen kann, startet er Operation Showerhead: Das LBNL ist angeblich verantwortlich für SDINET, ein Netzwerk über die Strategic Defense Initiative, nach welcher der Hacker häufig sucht. Stoll legt – als einen „Honeypot“ – Dateien mit sehr großem Datenvolumen an, darunter bürokratische Anordnungen seiner Universität, in denen er die akademischen Titel bzw. Anreden gegen militärische tauscht (Dr. wird zu Colonel usw.). Mit Hilfe von Steve White, einem Mitarbeiter des Unternehmens Tymnet, welches Leitungen über den Atlantik betreibt, verfolgt Stoll diese Langzeitverbindungen bis nach Europa. In Deutschland hilft Wolfgang Hoffmann von der Deutschen Bundespost bei der Verfolgung. Ein großes Problem ist dabei die relativ alte Vermittlungstechnik in Deutschland. Weil in den USA die meisten Vermittlungsstellen bereits digitalisiert sind, kann dort eine „Malicious Call Identification“ in nur wenigen Sekunden einen Anrufer ermitteln. In Deutschland jedoch muss noch eine spezielle analoge Fangschaltung in der betreffenden Vermittlungsstelle eingerichtet werden. Die Ermittlung des Anrufers dauert so viele Minuten, da die Ursprungsschaltung einmal durch die gesamte Vermittlungsstelle von einem Techniker durchgemessen werden muss. Aber die Verbindungszeit reicht für die Bundespost aus, um die Schaltung zurückzuverfolgen und den Anrufer so zu ermitteln.
Der Titel des Buches rührt aus der an ein Kuckucksei erinnernden Tatsache, dass der Hacker, der auf verschiedenen Rechnern Zugriff auf Benutzerkonten durch das systematische Erraten von Passwörtern erlangt, mit einem Trick Superuser-Rechte auf Root-Ebene erhält. Er nutzt einen Konfigurationsfehler im Programm Emacs und ersetzt damit kurzfristig ein Systemprogramm, welches in regelmäßigen Abständen bestimmte Dateien verarbeitet. Dieses Programm ändert er so ab, dass er Root-Rechte erlangt, sobald die Datei erneut verarbeitet wird. Diesen Vorgang beschreibt Stoll mit „Ausbrüten des Kuckuckseis“.
