Volgens beveiligingsexperts is de belangrijkste update MS07-039, die twee lekken in Active Directory in Windows 2000 Server en Windows Server 2003 patcht. De gevaarlijkste van de twee is een kwetsbaarheid in de manier waarop Active Directory ldap-requests valideert. Een aanvaller die deze kwetsbaarheid weet uit te buiten, kan de volledige controle over een geïnfecteerd systeem krijgen.

Het lek is extra gevaarlijk omdat het zonder interactie van de gebruiker misbruikt kan worden. Op Windows 2000 Server heeft de aanvaller bovendien geen gebruikersrechten nodig om succesvol te zijn. Bij Windows Server 2003 moet de aanvaller deze wel hebben.

Met een andere kritieke update dicht Microsoft drie kritieke lekken in Excel. In het verleden zijn soortgelijke kwetsbaarheden in andere Microsoft Office-formaten door aanvallers gebruikt om kwaadaardige code te installeren op bedrijfs-pc's. De bugs werden in februari gemeld door Symantec. Microsoft ontkende destijds nog dat de lekken een gevaar vormden.

De derde kritieke update dicht drie lekken in het .Net Framework. In minder kritieke updates worden onder meer lekken in Internet Information Services (IIS), Publisher 2007 en de firewall van Windows Vista gepatcht.