Fejlen ligger i et programbibliotek, som følger med Windows XP og Internet Explorer. Den kan ikke udnyttes til at trænge ind på computeren, men den kan bruges til et denial-of-service-angreb mod computeren, fortæller sikkerhedsfirmaet Secunia.
Det er chokerende let at udnytte sårbarheden - man skal blot skrive "input type xyz" i stedet for "input type=xyz" i HTML-koden, hvor "xyz" kan vær en vilkårlig tegnfølge. Det fungerer kun, hvis koden skrives udenfor body-elementet, dvs. i en sektion af dokumentet, som ellers er forbeholdt meta-data.
Det betyder, at det ikke er muligt at udnytte sårbarheden ved at poste et indlæg i et HTML-baseret online-forum, fordi indlægget normalt automatisk bliver placeret i body-sektionen.
Programbiblioteket shlwapi.dll, som indeholder fejlen, anvendes ikke kun af Internet Explorer, men også af Outlook, FrontPage, Windows Explorer og andre programmer.