De twee lekken zijn niet aan elkaar gerelateerd, maar Microsoft heeft ervoor gekozen één patch uit te brengen die beide problemen tegelijkertijd oplost. Door de fouten in de beveiliging konden computeraars programma's laten draaien op de pc van iemand anders. Een van de lekken maakt gebruikt van de 'skins', waarmee gebruikers het uiterlijk van het programma naar keuze kunnen instellen, die bij Windows Media Player 7 worden geleverd. Deze nieuwste versie van de speler wordt standaard geleverd bij Windows Me en is daarnaast gratis te downloaden vanaf de site van Microsoft. De bestanden met skins kunnen ook script bevatten. Een kwaadwillende computergebruiker zou een ander een skin met script kunen opsturen en hem ervan proberen te overtuigen die skin te installeren. Wanneer de Windows Media Player dan geopend wordt, kan het script worden uitgevoerd. Ook is het mogelijk dat iemand een script-bevattende skin op een website zet. Elke keer dat iemand die site bezoekt, wordt het script dan gedraaid. Omdat de code op de harde schijf van een computergebruiker terechtkomt, is het mogelijk ActiveX controls te draaien. Met de kwalijke code kan zo elke actie ondernomen die via Active X mogelijk is. Het lek werd ontdekt door GFI Security Labs. Active X is het onderdeel van Internet Explorer dat het verzenden en ontvangen van bestanden regelt. De functie is, door onder meer bugjager Georgi Guninski, al meerdere malen tot zwakke schakel van de browser aangewezen wat veiligheid betreft. Het tweede lek werd ontdekt door beveiligingsbedrijf @Stake en heeft betrekking op versies 6.4 en 7 van de Windows Media Player. De fout maakt gebruik van het zogeheten Active Stream Redirector .ASX-bestand, die gebruikers in staat stelt streaming media af te spelen vanaf internet- of intranetsites. Ook langs deze weg kunnen aanvallers code op iemands computer kan draaien. Met de code kan alles op de computer worden gedaan dat de bezitter kan doen.