Microsofts Internet Explorer er mindre robust end hidtil antaget - faktisk er en enkelt linie HTML-kode nok til at få hele programmet til at gå ned med et brag. Det er ikke engang nødvendigt at bruge Java, JavaScript eller andre former for aktiv kode for at udnytte programfejlen.
Fejlen ligger i et programbibliotek, som følger med Windows XP og Internet Explorer. Den kan ikke udnyttes til at trænge ind på computeren, men den kan bruges til et denial-of-service-angreb mod computeren, fortæller sikkerhedsfirmaet Secunia.
Det er chokerende let at udnytte sårbarheden - man skal blot skrive "input type xyz" i stedet for "input type=xyz" i HTML-koden, hvor "xyz" kan vær en vilkårlig tegnfølge. Det fungerer kun, hvis koden skrives udenfor body-elementet, dvs. i en sektion af dokumentet, som ellers er forbeholdt meta-data.
Det betyder, at det ikke er muligt at udnytte sårbarheden ved at poste et indlæg i et HTML-baseret online-forum, fordi indlægget normalt automatisk bliver placeret i body-sektionen.
Programbiblioteket shlwapi.dll, som indeholder fejlen, anvendes ikke kun af Internet Explorer, men også af Outlook, FrontPage, Windows Explorer og andre programmer.