Het lek is ontdekt door eEye Digital Security, dat onlangs al een ander lek in de IIS-software (Internet Information Server) van Microsoft bemerkte. Met het nieuwe lek kunnen kwaadwillenden op afstand volledige controle over webservers verkrijgen, zoals programma's installeren, databases manipuleren en bestanden verwijderen.Het gaat om alle versies van IIS in combinatie met Windows NT 4.x en Windows 2000. Ook een betaversie van Windows XP is kwetsbaar. Meer specifiek is de schuldige een stuk software genaamd Index Server, een onderdeel van IIS dat standaard wordt geïnstalleerd bij de webservers.Hierin zit een module die verantwoordelijk is voor het snel kunnen doorzaken van grote databases op webservers. Deze zogeheten ISAPI-extensie controleert niet afdoende op buffer overruns, met als rampzalig gevolg dat hackers in theorie totale controle over de getroffen machines kunnen verkrijgen.Volgens Marc Maiffret van eEye zijn op minstens 50 procent van alle IIS-servers de standaard componenten nog altijd geïnstalleerd. Maar liefst 3 miljoen webservers zouden daarmee in potentie slachtoffer kunnen worden van een hack. Maiffret vindt het lek zeer ernstig. Op een schaal van 1 tot 10 is dit lek een 11, zo zegt de veiligheidsexpert tegenover MSNBC.Microsoft raadt een ieder aan zo snel mogelijk de patches te installeren. Er zijn nog geen praktijkgevallen bekend waarbij hackers van het lek hebben gebruik gemaakt, maar kenners verwachten dat het niet lang zal duren voordat er op het net tooltjes worden geplaatst waarmee op computers kan worden ingebroken die de patches niet hebben.Er is een security bulletin door Microsoft uitgegeven over het probleem.