Podatne wersje przeglądarki to 6, 7 i 8. Luka wiąże się z alokowaniem nieinicjalizowanego obszaru pamięci, wykorzystywanego do obsługi CSS. Atakujący może wykorzystać ten fakt do wykonania dowolnego kodu w momencie odwiedzania odpowiednio spreparowanej witryny internetowej przez ofiarę. Zagrożenie byłoby pewnie niewielkie gdyby działały mechanizmy ASLR lub DEP. Niestety biblioteka mscorie.dll nie została skompilowana z przełącznikiem /DYNAMICBASE i jest ładowana pod przewidywalnym adresem w pamięci. Bardzo ułatwia to pisanie exploitu i skorzystali z tego twórcy projektu Metasploit udostępniając exploit na opisywaną dziurę. Na szczęście można włączyć losowanie adresu za pomocą narzędzia Enhanced Mitigation Experience Toolkit (EMET), które pozwalało zabezpieczyć się już przy kilku poprzednich lukach różnych aplikacjach.
Microsoft najprawdopodobniej wyda poprawkę usuwającą omawianą lukę. Sposoby ochrony, jakie można zastosować do tego czasu opisane są w poradniku bezpieczeństwa.
