Het lek zit in het onderdeel dat de server koppelt aan Microsofts Active Server Page (ASP). Dat laatste onderdeel zorgt ervoor dat de informatie uit een SQL-database in een HTTP-pagina kan worden opgenomen, zo waarschuwt microsoft in zijn securitybulletin. Normaliter kunnen alleen beheerders opdrachten en taken die de server heeft uit te voeren doorlopen en eventueel wijzigen. In versies 7.0 en 2000 van de serversoftware kunnen gebruikers ook deze taken en opdrachten doorlopen en eventueel wijzigen. Wel is de voorwaarde dat kwaadwillenden een account op de server moeten hebben om dit uit te kunnen buiten, aldus Microsoft. Reperatiesoftware is vanaf de site van Microsoft beschikbaar. Update, 10:05 uur: Titel aangepast. MySQL vervangen door MS SQL