De fout zit volgens de ontdekker, Windows CE programmeur Jeff Zamora, in de ActiveSync-functie van de compacte Windows-versie. Windows CE moet de NT-wachtwoorden versleuteld opslaan. Dat gebeurt ook, maar met een buitengewoon simpele formule gebaseerd op de waarden van de letters 'susageP', het omgekeerde van het woord Pegasus. Dat was de codenaam van Windows CE. Specialisten zijn hoogst verontwaardigd over deze slechte beveiliging. "Elke cryptografie gebaseerd op een enkele sleutel is waardeloos nadat die sleutel is gekraakt," aldus beveiligingsconsultant Matt Bevan tegen ZDNet. Bevan vergelijkt de Windows CE beveiliging met de onlangs gekraakte DVD-encryptie. (Zie nieuws van 4 november.) Die is ook niets meer waard nu de code gekraakt is. Microsoft heeft nog niet gereageerd op het lek.