Ondanks jarenlange kritiek uit de beveiligingswereld heeft Sun haar patchproces nog steeds niet aangepast, waardoor oude versies van Java gewoon op gepatchte systemen achterblijven en dat kan een ernstig risico voor internetgebruikers zijn. Zo was het in het verleden voor kwaadaardige websites mogelijk om via een oudere versie het systeem te infecteren, ook al had de gebruiker de laatste versie geïnstalleerd.

Wederom is er een lek gedicht waardoor aanvallers oudere, achtergebleven versies konden misbruiken. De kwetsbaarheid werd ontdekt door beveiligingsonderzoeker John Heasman. Het lukte hem om het beveiligingsmodel van Sun te omzeilen en de browser en het besturingssysteem een oudere Java-versie te laten gebruiken, ook al was er een nieuwere versie aanwezig.

Om de aanval mogelijk te maken krijgt de gebruiker een venster te zien waarin staat dat de website een oudere Java-versie wil uitvoeren. Ook al kiest de gebruiker "Nee", dan kan de aanval nog steeds plaatsvinden, wat meteen het gevaar aantoont als oude software achterblijft. De reden dat Sun bewust miljoenen internetgebruikers in gevaar brengt komt doordat veel door bedrijven gebruikte en ontwikkelde applicaties alleen met een oudere versie werken. Het verwijderen van de oude versie is daarom onacceptabel. Een mogelijke oplossing is dat Sun met een consumenten en zakelijke versie van Java komt.

De aanval kan vergaande gevolgen hebben, aangezien ruim negentig procent van alle desktops Java gebruikt, ongeacht het besturingssysteem. Dat is meteen het mooie van de kwetsbaarheid, omdat een exploit onafhankelijk van browser en besturingssysteem kan werken. Heasman zal zijn exploit tijdens de Blackhat Conferentie in augustus demonstreren.