Vývojáři sice správně ošetřili potenciálně nebezpečné tagy <script>, <iframe> a atributy událostí, ale opomněli ošetřit výskyt pseudoprotokolu DATA: u prvků <object>.
Výzkumníci z Vulnerability Lab se ke zranitelnosti vyjádřili takto: Tento druh zranitelnosti může být použit s různými vektory útoku na klienta, a může nakonec vyústit i v úplnou kompromtaci cílového systému.