Eine auf einer präparierten Webseite integrierte Flash-Datei führt einen Heap Spray durch. Anschließend nutzt sie die Lücke über einen JavaScript-Aufruf. Microsoft hat das Problem am 1. Mai mit einem außerplanmäßigen Update auch für Windows XP behoben.