Ein Angreifer muss demnach nur noch ein Formular in eine bekannte, vom Anwender als vertrauenswürdig eingestufte Seite einschleusen, um dessen Daten abzufangen. Das Einschleusen eines Formulars hört sich schwieriger an, als es ist: Per Cross-Site-Scripting können selbst Laien solche Angriffe einleiten.
Hinzu kommt, dass Firefox auch nicht prüft, an welche Adresse die per Formular übermittelten Daten verschickt werden. Wie Heise meldet, wurde auf MySpace.com bereits ein Fall aufgedeckt, bei dem ein Teilnehmer diese Lücke nutzte, um die Zugangsdaten anderer Teilnehmer abzufragen. Bei Internet Explorer 7 besteht nach ersten Erkenntnissen kein vergleichbares Risiko.
