Newsbytes viser til sikkerhetsforum der nederlenderen Bart van Arnhem forklarer framgangsmåten. Poenget er at MSN Hotmail innlemmer alt som står i "from"-feltet i selve html-koden som utgjør Hotmail-brukerens innboks. Følgelig vil eventuell Javascript i "from"-feltet eksekvere straks brukeren ser på sin innboks. Det er ikke nødvendig å åpne selve meldingen.
Tilsvarende framgangsmåte på "subject"-feltet går ikke, siden Microsoft filtrerer dette feltet for skripter.
Van Arnhem la ved en demo for å vise hva slags skadevirkninger dette kan gi, blant annet at det er mulig å omdirigere brukeren til en gitt nettadresse, eller få Hotmail-brukerens nettleser til å kjøre et program på en annen server.
Newbytes siterer en sikkerhetsekspert som mener at det vil la seg gjøre å komponere en skript for å kapre mottakerens passord.
Representanter for Microsoft sier saken undersøkes nå, og at de vil vente med en eventuell uttalelse.
