Security onderzoekers David Dewey en Darrin Barrall hebben twee lekken in de Microsoft Windows XP Universal Serial Bus (USB) driver ontdekt waardoor ze vertrouwelijke gegevens van een kwetsbare computer kunnen stelen. Een aanvaller moet wel fysieke toegang tot de machine hebben. Een doorsnee aanval duurt zo'n tien seconden en kan daardoor snel worden uitgevoerd. Via een USB stick zou een aanvaller bijvoorbeeld een Trojaans paard op het kassa systeem kunnen installeren, waarna de Trojan creditcardgegevens opslaat. Is de kassa eventjes onbemand, dan kan men via de USB stick de verzamelde creditcardgegevens weer downloaden.

Een aanvaller zou ook gratis USB sticks of keys tijdens een conferentie uit kunnen delen met een Trojaans paard al geinstalleerd, waardoor nietsvermoedende gebruikers de Trojan mee naar huis nemen en zo hun PC besmetten. Alleen Windows machines met AutoRun actief zijn kwetsbaar. De onderzoekers hebben ook een device driver geëmuleerd, waardoor mogelijk ook andere besturingssystemen voor deze USB aanval kwetsbaar zijn.