Bei der Lücke handelt es sich um einen Fehler in Microsofts Web-Komponenten. Speziell präparierte Parameter konnten beim Aufruf msDataSourceObject() zu Fehlern in der Speicherverwaltung führen, die ein Angreifer nutzen kann, um Code einzuschleusen und auszuführen.
Im März 2007 hatte die Zero Day Initiative Microsoft auf diese Lücke aufmerksam gemacht. Doch offenbar schien man das Problem bei Microsoft nicht besonders ernst zu nehmen, die Angelegenheit wurde augenscheinlich nicht weiter verfolgt - bis im Juli Berichte die Runde machten, die Lücke werde im Web aktiv ausgenutzt. Von da an verging noch genau ein Monat, bis der entsprechende Patch bereitstand. Es bleibt zu hoffen, dass bei Microsoft nicht noch mehr so alte Leichen im Keller liegen.