Problem tkwi w sposobie w jaki program winhlp32.exe przetwarza pliki HLP. W przypadku odpowiednio spreparowanego pliku może dojść do wykonania zawartego w nim kodu. Atak można wykonać np. za pomocą przeglądarki Internet Explorer. W tym celu atakujący musi w kodzie strony umieścić kod VBScript, który wyświetli okienko komunikatu mające skojarzony spreparowany plik pomocy. Po pokazaniu się komunikatu ofiara musi wcisnąć F1 aby uruchomiony został program winhlp32.exe otwierający plik HLP. Wtedy następuje wykonanie kodu zaszytego w pliku pomocy przez atakującego. Lukę można wykorzystać pod Windows XP, na systemach Windows Vista i 7 nie występuje.
Przy okazji odkryto podatność na przepełnienie bufora przy podaniu bardzo długiej ścieżki jako parametr dla programu winhlp32.exe. Luki tej jednak nie można wykorzystać gdyż plik winhlp32.exe został skompilowany z oferowaną przez Visual Studio opcją /GS, która włącza zabezpieczenie Buffer Security Check.
