Het beveiligingslek zit in de proxy-servermodule van Apache 1.3.31, 1.3.29, 1.3.28, 1.3.27 en 1.3.26. Alleen de nieuwste versie 1.3.32 vertoont het lek niet. Als een kwetsbare server contact maakt met een site die speciale code bevat, kan dit leiden tot een crash van de server. Bij BSD-systemen is het risico groter. Hier kan een hacker eigen codes gaan uitvoeren. "Als je een BSD-systeem hebt, zou ik erg voorzichtig zijn", zegt technisch directeur Thomas Kristensen van Secunia. "Het is nog niet bewezen dat de code om het lek te misbruiken, ook werkt. Maar BSD wordt veel door webhostingbedrijven gebruikt." Inmiddels hebben de meeste softwarefabrikanten een patch beschikbaar gesteld. Vermoedelijk is Mac OS X ook lek, maar hiervoor is nog geen patch klaar. Het lek in Apache-server 1.3.x is de zesde dit jaar, volgens de statistieken van Secunia. Andere serversoftware Microsoft IIS 5.x is in dezelfde periode tien keer gepatcht. De ernst van de lekken was hier ook groter dan bij Apache, aldus Secunia.