De methode is uiterst omslachtig en gecompliceerd. Dat geeft ook de ontdekker van de `cookiebug' toe, Benjamin Franz, webmaster van de Californische Internet-provider Net Images. Maar het is mogelijk en Netscape heeft al toegegeven dat zijn browser op deze manier privacy-gevoelige informatie kan laten lekken. Ook de Internet Explorer `lekt', maar Microsoft heeft de zaak nog in onderzoek en weigert commentaar. Een cookie is een klein tekstbestand waarin websites de persoonlijke instellingen en voorkeuren van een bezoeker kunnen opslaan, gekoppeld aan een IP-nummer. Zo krijgt de gebruiker altijd meteen de juiste pagina in de beste opmaak op zijn scherm. Ook wordt de cookie gebruikt om bezoekers te herkennen die op sites komen die met een wachtwoord zijn beveiligd. Benjamin Franz zegt dat de e-mailprogramma's en nieuwslezers van Netscape en Microsoft in staat zijn om een cookie vast te koppelen aan een specifiek e-mailadres. Via een cookie kunnen websites informatie verzamelen over de pagina's die je regelmatig bezoekt. Daarna kunnen ze je e-mailadres verkopen aan adverteerders van producten waarin jij kennelijk belangstelling hebt. "Websites kunnen zeggen: hier heb je de lijst van mensen die homepages van verzekeringen bezoeken, hier een lijst van bezoekers van pornosites en dit is mijn lijst van mensen die een auto willen kopen", aldus Franz. Om het lek in Navigator en Explorer uit te buiten moet de website al beschikken over je e-mailadres. Om je bewegingen op het Internet te volgen stuurt een bedrijf je een in HTML-opgemaakt bericht met een gelinkt plaatje die terugwijst naar de server van het bedrijf. Zodra je de HTML-verrijkte post opent wordt het plaatje automatisch geopend en zet de server één cookie op je harde schijf, terwijl een tweede wordt teruggestuurd naar de server. Als je de betreffende website bezoekt, weet het bedrijf aan de hand van je e-mailadres dat je er bent geweest. Erger is, meent Franz, dat een bedrijf via dezelfde methode ook je verrichtingen in de nieuwsgroepen van het Usenet in de gaten kan houden. Daarvoor moet het bedrijf dan HTML-verrijkte berichten achterlaten in een nieuwsgroep. Als verzekeraar zou je er op die manier achter kunnen komen wie er bijvoorbeeld vaak meedoet aan discussie over ziekten als AIDS en deze mensen dan vervolgens een levensverzekering weigeren. Netscape erkent dat Communicator op deze manier informatie kan `lekken'. Gebruikers kunnen dat voorkomen door bij hun instellingen de optie kiezen waarbij alleen cookies worden geaccepteerd die naar de server gaan waar ze vandaan komen. Voor oudere versies (3.0) is deze beveiliging niet mogelijk. Surfers die elk risico willen vermijden moeten Navigator opdragen hen te waarschuwen voor iedere cookie die wordt aangeboden.