Indien gecombineerd, kunnen de fouten buitenstaanders in staat stellen een systeem over te nemen, aldus Guninski. De eerste fout betreft het mailprogramma Outlook XP. Een `aanvaller' kan door de fout actieve content, die zowel een object als een script bevat, in een html-mailtje meezenden. Indien de ontvanger het mailtje doorstuurt of beantwoordt, wordt deze content geactiveerd. De aanvaller kan de ontvanger zo dwingen een bepaalde webpagina te bezoeken. In de spreadsheet-component van Office XP bevindt zich de tweede fout, aldus Guninski. In combinatie met de eerste fout kan een kwaadwillende hiermee uitvoerbare bestanden plaatsen in de directory met programma's die bij het opstarten van Windows worden geopend. Op deze manier kan een systeem volgens Guninski overgenomen worden. De Bulgaarse beveiligingsonderzoeker plaatste maandag een bericht over de fouten op zijn website, nadat Microsoft niet had gereageerd op zijn melding van de problemen. Guninski stelde het softwareconcern volgens eigen zeggen al op 17 maart op de hoogte. Guninski rapporteert al jarenlang beveiligingsfouten in software van Microsoft. Zijn verhouding met het softwareconcern is er gaandeweg niet beter op geworden. Microsoft heeft Guninski al eerder verweten te snel zijn bevindingen openbaar te maken. Ook nu weer verklaarde de onderneming het te betreuren dat Guninski de problemen al gemeld heeft voordat Microsoft een kans heeft gehad deze te onderzoeken. Klanten lopen door de publicatie risico en bovendien wordt onnodige paniek gezaaid, zo liet Microsoft in een reactie weten. Guninski op zijn beurt is steeds negatiever geworden over de software van Microsoft. Zo adviseert hij als oplossing voor de laatste fouten die hij ontdekte om een `echt' mailprogramma en office-pakket te gaan gebruiken. Indien dat gebruikers van Office XP te ver gaat, moeten zij volgens Guninski alle `actieve content' in Internet Explorer uitschakelen en de spreadsheet-component verwijderen. Microsoft heeft inmiddels de eerste fout erkend. Het concern geeft hiervoor een andere oplossing dan Guninski. Het uitschakelen van html-mail zou volstaan. Het tweede probleem wordt nog onderzocht. Maar volgens Microsoft kunnen langs deze weg sowieso alleen bestanden worden aangemaakt en niet uitgevoerd. Het verwijderen van de spreadsheet-component zou daarom niet nodig zijn.