Če poenostavimo - napadalec je strežniku poslal tako dolg zahtevek URL (dolžine nekaj 100 znakov), da ga je spletni strežnik pri shranjevanju delno shranil kar v del pomnilnika za izvajanje programov, tam pa se je tako infiltrirana programska koda tudi izvedla. In še - ko je bil strežnik tako okužen, je imel napadalec prek navideznega imenika »..« dostop do praktično vseh datotek na disku. Res, brž ko je Microsoft ugotovil napako, jo je popravil, toda taki popravki so vedno korak za napadalci, predvsem pa jih (žal) večina upraviteljev prepozno uporabi.