Beveiligingsonderzoeker Marius Tivadar van Bitdefender merkte het issue op en heeft een proof-of-concept gepubliceerd op GitHub. Deze DoS kan worden afgetrapt op systemen waar de gebruiker geen admin-rechten op heeft, dus op elke gemiddelde kantoor-pc en omdat het gebeurt zodra de stick wordt ingelezen bij het insteken ervan ook op vergrendelde pc's.

Microsoft noemt dit - enigszins terecht - geen beveiligingsprobleem, omdat de aanval niet op afstand uitgevoerd kan worden en de aanvaller fysieke toegang nodig heeft tot de machine, of door de gebruiker te socialengineeren. Er is daarom geen CVE toegewezen, maar Microsoft heeft wel stilletjes een patch uitgerold, daar de methode niet meer werkt op Windows 10 1709.

Ondanks dat heeft Tivadar wel een punt dat autoplay niet de verstandigste default is om een extern station aan te spreken. Autorun is om soortgelijke redenen al jaren geen standaardactie meer.

Overigens voert bijna elk OS in de default configuratie een autoplay uit die de gebruiker vraagt welke actie moet worden ondernomen, in plaats van dat gebruikers hebben geleerd om bijvoorbeeld de Verkenner te openen om zelf een map te openen.