Der ungeprüfte Puffer tritt in einer Routine auf, die für die Behandlung von Cookies verantwortlich ist. Ein Angreifer könne über die Sicherheitslücke einen Puffer-Überlauf erwirken. Die Folge wäre ein Neustart der ASP.Net-Anwendung. Für Anwender der Applikation würde dies den Verlust von Daten und Information der abgebrochenen Session zur Folge haben. Daneben sei es einem Angreifer möglich, beliebigen Code auszuführen und DoS-Attacken zu starten.
ASP.Net-Anwendungen, die im StateServer-Mode ohne Cookies laufen, sind von der Sicherheitslücke nicht betroffen. Ein Patch steht zum kostenlosen Download bereit. Die Gefährlichkeit wird von Microsoft als "Moderate" eingestuft. (ssp)