Befindet sich der FTP-Client hinter einem Router (mit NAT) oder einer Firewall, kommt die vom FTP-Server ausgehende Datenverbindung (Data) nicht zu Stande. Die Firewall blocket alle Verbindungen, welche von außerhalb initiiert werden. Um diese Problematik zu umgehen, wurde der passive FTP Mode implementiert. Mit seiner Hilfe können auch FTP-Clients hinter einer Firewall FTP-Verbindungen herstellen.
Nach erfolgreichem Verbindungsaufbau über Port 21 mit dem Server, erhält der FTP-Client eine Portnummer vom Server übermittelt, über welche die Datenverbindung initiiert werden kann. Der FTP-Client kontaktiert den Server anschließend auf diesem Port. Weil der Client die Verbindung initiiert, verhindert die Firewall diese Verbindung nicht mehr. Im Passive Mode wird Port 20 des FTP-Servers nicht in Anspruch genommen.