Alle uitvoeringen van Microsofts Java Virtual Machine (JVM) software, inclusief de nieuwste versie 5.0.3805 zijn door de fout getroffen, zo waarschuwt Microsoft. De fout zit in het onderdeel dat verbinding maakt met databasetoepassingen. Een tweede fout zit in de ondersteuning van XML-documenten. Om het lek te misbruiken dient een kwaadwillende een aangepaste website te publiceren die het slachtoffer moet bezoeken. Of moet er een html-mailbericht worden gestuurd worden met een reeks opdrachten die het lek uitbuiten. "Java is bedoeld om in een beveiligde omgeving te draaien. Dit betekent dat de applicaties eigenlijk niet buiten deze veilige omgeving mogen of moeten kunnen komen. Helaas is het met Microsoft Java implementatie mogelijk om deze beveiligde omgeving te verlaten", aldus de Deense Veiligheidsexpert Thor Larholm. Gebruikers kunnen een patch installeren of voor Suns Java Virtual Machine kiezen en deze op hun (Windows) systeem gebruiken. Sun is de uitvinder van Java. Java-expert Larholm sluit echter niet uit dat hier ook lekken inzitten.