Internet Explorer 7 accepteert URLs van andere applicaties met het % karakter, waardoor programma's en malware gestart kunnen worden. Microsoft ontkent dat het een beveiligingsprobleem betreft, en wil het niet oplossen. De kwetsbaarheid is echter niet in Internet Explorer 6 aanwezig, wat aangeeft dat er iets tussen beide versies is veranderd.

Het Windows URI protocol, waarmee browser andere programma's via commando's in de URL kunnen uitvoeren, ligt al sinds juli onder vuur. De Noorse onderzoeker Thor Larholm demonstreerde toen hoe er via Firefox en IE kwaadaardige code is uit te voeren. Net zoals toen is er weer een felle discussie ontstaan of het probleem bij Microsoft of de andere vendors ligt. Symantec ziet het wel als een beveiligingsprobleem en legt de schuld bij Microsoft. Tevens heeft het haar klanten voor de bug gewaarschuwd.

"Het fundamentele probleem is dat de ingebouwde URI handler van Windows op een verkeerde manier externe programma's aanroept, waardoor er shell-injectie aanvallen mogelijk zijn. Het aanpassen van individuele programma's om tegen dit Windows lek te beschermen is een work-around, geen fix", zegt Glynn Clements op de FD mailinglist.