Chee Mun Kean legt op zijn homepage uit hoe de bug in elkaar steekt.

Een hacker moet om in te kunnen breken met een packet sniffer het dataverkeer op een matig beveiligd LAN of intranet 'afluisteren'. Met zo'n programma kan een interne hacker de URL onderscheppen die wijst naar de postbus van een legale gebruiker van Hotmail, of de cookie waarin zijn gegevens voor Hotmail staan opgeslagen.

Beschikt de hacker eenmaal over deze gegevens dan kan hij de post van een ander lezen, wijzigen of weggooien en het profiel van de Hotmail-gebruiker veranderen.

Hotmail heeft toegegeven dat de beveiliging van de accounts tekortschiet, maar legt de verantwoordelijkheid voor het verhinderen van dit soort inbraken bij de systeembeheerders van de interne netwerken. Bij de juiste beveiliging worden packet sniffers direct opgemerkt.

Eind augustus kwam bij Hotmail en andere e-maildiensten ook al een beveiligingslek aan het licht (zie Koud kunstje in Hotmail).

Dat de beveiliging door het gebruik van cookies kan worden aangetast is al langer bekend. Op computers die door meerdere personen worden gedeeld of die in openbare ruimten staan als bibliotheken en cybercafés kunnen anderen gebruik maken van cookies van eerdere bezoekers. De meeste e-maildiensten hebben dan ook een uitlog-procedure, waarbij de cookies na gebruik kunnen worden vernietigd.

Ook de URL-bug is een bekend lek: sommige servers zijn in staat om de exacte link te achterhalen die een bezoeker voor zijn komst naar een bepaalde site bezocht. Ook gebruikers van WebWereld lopen kans hun gegevens prijs te geven als ze via een directe URL mét gebruikersnaam en wachtwoord inloggen (zie Waak over je wachtwoord).