Het lek hang samen met JavaScript, een veelgebruikte programmeertaal om acties op een webpagina uit te voeren zonder dat de websurfer iets hoeft te doen. Kwaadwillenden hebben JavaScript ontdekt als cracktool. Op diverse manieren is de ingebouwde beveiliging van Internet Explorer te omzeilen. Dit keer gaat het om het zoekcommando 'NavigateAndFind'. Deze functie is bedoeld om een webpagina te zoeken en op die pagina de gezochte tekst te selecteren. IE hoort voor de browser aan de slag gaat met de zoekopdracht een veiligheidscontrole uit te voeren. De beveiliging werkt echter niet als JavaScript het zoekcommando uitvoert op een 'frame' binnen een pagina. Van buitenaf kan dan toegang worden gekregen tot alle bestanden die in een browser geopend kunnen worden. Naast HTML-bestanden zijn dat Word-documenten en diverse plaatjes. De bestanden kunnen volgens Microsoft alleen worden bekeken, wijzigen of verwijderen is niet mogelijk. Microsoft erkent de bug en werkt aan een oplossing. Ontdekker van de fout is Georgi Guninski, een Bulgaarse bug-jager die het afgelopen jaar al diverse veiligheidsgaten in Internet Explorer vond.