De bug – door de softwarereus aangeduid als Cross Frame Navigate Vulnerability - was aan het licht gebracht door een Bulgaarse programmeur. De 26-jarige Georgi Guninski beschreef op zijn homepage hoe het beveiligingslek kon worden uitgebuit.

Microsoft was al een tijdje op de hoogte van de bug, die een variant is op het lek dat vorig jaar werd ontdekt. Redmond besloot de nieuwe vondst van Guninski pas aan de grote klok te hangen toen er een patch beschikbaar was. Zo kon misbruik door anderen worden voorkomen. Overigens is de pleister alleen bedoeld voor de versie 4.0 en hoger van de Internet Explorer: gebruikers van oudere versies, die ook last hebben van de bug, krijgen het advies om te upgraden.

Zowel de browsers voor Windows 95, 98, NT, 3.X als die voor Macintosh hebben last van het lek.

Bij de Cross Frame Navigate Vulnerability-bug maakt de hacker gebruik van een script dat een nieuw venster opent. Daarmee kan een specifiek bestand worden bekeken op de harde schijf van de surfer die op de website van de hacker inlogt.

De bug is niet eenvoudig uit te buiten: een hacker moet namelijk de exacte lokatie en naam weten van het bestand dat hij wil opvragen.