“Internet Explorer” naršyklėje “Visual Basic” programėlės (VBScripts) gali būti aktyvuojamos viename tinklapio lange (frame) ir nuskaityti informaciją iš kitų langų. Todėl įsilaužėlis “įviliojęs” vartotoją į tam tikrą tinklapį arba atsiuntęs jam “HTML” formato laišką, gali peržiūrėti viską, kas yra aukos diskiniame kaupiklyje arba kartu su “auka” lankytis tuose tinklapiuose, kuriuose naršo pastarasis. Antruoju atveju “įsilaužėlis” gali nugvelbti ir asmeninę informaciją (kredito kortelių numerius ir pan.).
Šią saugumo spragą turi “Internet Explorer 5.01 SP2”, 5.5 SP1, 5.5 SP2 ir 6.0 versijos.
“XML Core Services 2.6” įdiegiama kartu su “Internet Explorer 6.0”, “SQL Server 2000” ir yra visose “Windows XP” operacijų sistemos versijose. Ši programa turi analogišką problemą, ir įsilaužėlis taip pat gali nuskaityti visą “aukos” diskinio kaupiklio informaciją.
Klaida atrasta “Active X” valdančiąjame elemente “XMLHTTP”, kuris gali nukreipti ir gauti XML duomenis per HTTP protokolą.
“XMLHTTP” neatliekama reikalinga duomenų apsaugos kontrolė kai kurioms tinklapių siunčiamoms užklausoms, todėl teoriškai įsilaužėlis teoriškai gali per tinklapį nuskaityti duomenis iš diskinio kaupiklio. Tiesa, norint tai atlikti, “auką” teks įvilioti į tam tikrą tinklapį, kadangi HTML formato laiškas šiuo atveju nepadės. Naudojantis “Internet Explorer” ir “XMLHTTP” saugumo “spragomis” “hackeris” gali sužinoti pilną kelią iki bet kokios bylos, esančios aukos kompiuteryje, ir ją perskaityti.