ייתכן שמיקרוסופט לא תוכל לתקן פגיעות של יום אפס בגירסה ישנה יותר של שרת האינטרנט שלה שירותי אינטרנט, שתוקפים פקדו ביולי ובאוגוסט של השנה שעברה. הניצול מאפשר לתוקפים לבצע קוד זדוני בשרתי Windows המריצים IIS 6.0 תוך הרשאות משתמשים שמריצים את היישום. ניצול הוכחת מושג לפגיעות ב- IIS 6.0 זמין כעת לצפייה ב- GitHub ובעוד שאינו נתמך עוד ב- IIS 6.0, הוא עדיין בשימוש נרחב גם בימינו. התמיכה בגירסה זו של IIS הופסקה ביולי של השנה שעברה יחד עם תמיכה ב- Windows Server 2003, מוצר האם שלה.

החדשות מעוררות דאגה בקרב אנשי אבטחה שכן סקרי שרתי אינטרנט מצביעים על כך שמיליוני אתרים ציבוריים משתמשים עדיין ב- IIS 6.0. כמו כן, ייתכן שמספר גדול של חברות עדיין יכולות להריץ יישומי אינטרנט ב- Windows Server 2003 ו- IIS 6.0 בתוך הארגון שלהם. לפיכך, התוקפים יכולים להשתמש בפגם כדי לבצע תנועות רוחביות אם הם יקבלו גישה לרשתות ארגוניות.

לפני פרסומו ב- GitHub, רק כמה תוקפים היו מודעים לפגיעות - עד לאחרונה. כעת, ישנן עדויות לכך שלתוקפים רבים יש גישה כיום לפגם שלא נתן תחרות. ספק האבטחה Trend Micro מציע את ההסבר הבא לפגיעות:

תוקף מרוחק יכול לנצל פגיעות זו במרכיב IIS WebDAV באמצעות בקשה מעוצבת בשיטת PROPFIND. ניצול מוצלח עלול לגרום לתנאי מניעת שירות או ביצוע קוד שרירותי בהקשר של המשתמש שמריץ את היישום. על פי החוקרים שמצאו פגם זה, הפגיעות הזו נוצלה בטבע ביולי או באוגוסט 2016. היא נחשפה לציבור ב- 27 במרץ. שחקני איום אחרים נמצאים כעת בשלבי יצירת קוד זדוני על סמך ההוכחה המקורית- קוד של מושג (PoC).

Trend Micro ציין כי עריכה וגרסאות מבוזרות באינטרנט (WebDAV) הם הרחבה של פרוטוקול ההיפר-טקסט הסטנדרטי שמאפשר למשתמשים ליצור, לשנות ולהעביר מסמכים בשרת. התוסף מספק תמיכה במספר שיטות בקשה כמו PROPFIND. החברה ממליצה להשבית את שירות WebDAV במתקני IIS 6.0 כדי לסייע במתן הבעיה.