Infoworld ne ha discusso con gli esperti Microsoft, che sono rimasti in maggioranza sorpresi di questo comportamento. Si è notato che si manifesta soltanto quando non viene digitato http:// prima del nome del sito, e questo fa pensare che IE faccia vari tentativi d’interpretare la digitazione dell’utente: uno di questi tentativi guarderebbe il Desktop per vedere se contiene un collegamento corrispondente alla digitazione. Se non lo trova sul Desktop, allora lo va a cercare su Internet. Ma se lo trova, lo esegue, scavalcando completamente il funzionamento atteso del browser.
Di per sé non è un pericolo grave (l’aggressore deve comunque avere già accesso al computer della vittima con qualche altro metodo), ma è un sintomo di una filosofia di progettazione che nonostante tutto non è ancora orientata realmente alla sicurezza; il fatto che questo comportamento sia presente anche nella prossima versione di IE (la 7, attualmente disponibile come beta) non promette bene per il futuro. Ogni comportamento non documentato è una possibile trappola per l’utente.