Details zur Lücke hat Microsoft in einem Security Advisory veröffentlicht. Es genügt, eine entsprechend manipulierte Website im Browser aufzurufen (was theoretisch bereits durch einen Klick auf einen per E-Mail übermittelten Link geschehen kann), um dem Angreifer die Kontrolle über den betreffenden Rechner zu übergeben.
Bislang hat Microsoft noch keinen Patch veröffentlicht, und die empfohlenen Workarounds (Website-CSS durch benutzerdefiniertes CSS ersetzen, aktive Inhalte pauschal blockieren) sind wenig hilfreich für ein unbeeinträchtigtes Surfvergnügen. Der beste Rat ist in diesem Fall tatsächlich der (zumindest vorübergehende) Umstieg auf einen alternativen Browser.