Het lek, een programmeerfout in de JavaScript en ActiveX controls, is ontdekt door de bekende Bulgaarse beveiligingsexpert Georgi Guninski. Het lek ontstaat door de manier waarop de GetObject-functie van JavaScript omgaat met de aanvraag. Volgens Guninski betreft het alleen gepatchte versies van IE 6.0 en de IE 5.5-uitvoering voor Windows 2000. Wil een hacker toegang krijgen tot een bestand op de computer, moet deze echter wel de exacte naam weten van dit bestand. Guninski zegt Microsoft al op 11 december te hebben ingelicht over zijn ontdekking. Na drie weken te hebben gewacht op eventuele maatregelen, heeft de Bulgaar besloten zijn vinding wereldkundig te maken. Guninski raadt gebruikers aan om de Active Scripting-functie in IE uit te schakelen, om dit vervolgens nooit meer in te schakelen. Guninski heeft zichzelf inmiddels wel bewezen als de luis in de pels van Microsoft. De beveiligingsexpert heeft inmiddels meerdere fouten ontdekt in Microsoft software, waaronder ook Office, Exchange en Windows XP.