Eén van de lekken in Microsoft's Internet Information Services (IIS) webserver, die hackers inmiddels actief misbruiken, is mogelijk al tien jaar oud, aldus een Luxemburgse beveiligingsonderzoeker. Thierry Zoller ontdekte dat waarschijnlijk precies hetzelfde lek ook in IIS 3 en 4 zat en al op 24 januari 1999 door eEye Digital Security werd gemeld.

Toen ging het ook om buffer overflow in the NLST commando, waardoor een aanvaller een Denial of Service kon veroorzaken of het systeem overnemen. Zoller vraagt zich af of het inderdaad dezelfde bug is en of die mogelijk geherintroduceerd is. "Heeft Microsoft wel LS gefixt, maar niet NLST? misschien een foutje met subversion?"