Mange softwarefirmaer vælger at lægge forhåndsindstillede kodeord ind i deres produkter. Formålet er at gøre det lettere at installere og teste programmet. Der kan også være tale om egentlige fejl, f.eks. at producenten har glemt at fjerne kodeord, som er brugt under betatest.
Den danske sikkerhedsekspert Peter Kruse advarer mod sådanne kodeord: "Dette er måske et af de mest omfattende sikkerhedsproblemer der findes og det ville derfor være urimeligt ikke at sætte fokus på problemstillingen," siger han.
Programmer som Internet Security Scanner kan med et såkaldt "portscan" afsløre, hvilke tjenester der er installeres på en server - og dermed hvilke programmer, der er installeret.
Hackeren kan så benytte en af de mange kodeords-databaser på Nettet og afprøve, om administratoren har husket at fjerne alle forudindstillede konti i en service.
På den nedenstående adresse findes en fortegnelse over produkter med "default passwords". Det gælder bl.a. operativsystemet Windows NT, databasen Oracle RDBMS og Linux-distributionen RedHat.