Door de fout kan bijvoorbeeld een hacker een willekeurige code uitvoeren op de server. Dit heeft Microsoft vrijdag bekend gemaakt.

De werkelijke fout zit in een onderdeel van de Front Page Server Extensions (FPSE), die meegeleverd wordt met IIS. Front Page maakt gebruik van speciale serverextensies om extra functionaliteiten te leveren. Het foute component, de Visual Studio RAD (remote application deployment), is een optionele tool, die niet standaard wordt geïnstalleerd.

Microsoft waarschuwt gebruikers dat de Visual Studio RAD component niet geïnstalleerd hoort te zijn op webservers die publiekelijk toegankelijk zijn. Volgens Microsoft wordt hier tijdens de installatie voor gewaarschuwd en moet de gebruiker het waarschuwingsscherm zelf wegklikken.

Deze fout is de tweede die binnen een week wordt gevonden in de IIS-software, sinds mei zelfs al de vierde. Inmiddels heeft Microsoft (wederom) een patch uitgegeven om het probleem te verhelpen.