Het beveiligingslek kan uitgebuit worden door een speciaal gecodeerd ActiveX-script in een html-pagina of html-mailtje te plaatsen. Via een zeer complex proces kan hiermee een nieuwe webpagina geopend worden die beveiligingscertificaten op de harde schijf wist. Die certificaten worden gebruikt bij het versleutelen van een aantal kenmerken van de gebruiker. Wachtwoorden en gebruikersnamen van beveiligde websites kunnen erin opgeslagen worden. Als die certificaten verwijderd worden kan de gebruikers bepaalde sites niet meer bekijken. Het softwarebedrijf waarschuwt dat bijna alle Windows-versies kwetsbaar zijn voor het lek. Microsoft raadt gebruikers van Windows 98, 98SE, Me, NT 4.0, 2000 en XP Professional aan om de beveiligingsupdate te downloaden. Volgens CNet is dit inmiddels de 48e keer dit jaar dat Microsoft waarschuwt voor beveiligingsfouten in de software.