Volgens het Deense beveiligingsbedrijf Secunia legt Microsoft de schuld van de "inconsistentie" in Internet Information Services (IIS) bij klanten, terwijl er wel degelijk sprake van een beveiligingslek is. "Secunia beschouwt dit vanuit het perspectief van een systeembeheerder die een webapplicatie draait, die gebruikers toestaat om bestanden naar bepaalde mappen te uploaden, als een beveiligingslek", zegt beveiligingsexpert Alin Rad Pop. Microsoft wil het probleem niet als kwetsbaarheid omschrijven. Op mappen met schrijf- en leesrechten kan een aanvaller bestanden met een dubbele extensie uploaden en vervolgens uitvoeren.

Secunia erkent dat het verwijderen van uitvoerrechten voor upload mappen verstandig is, maar dat systeembeheerders die op de beperkingen van het uploadscript vertrouwen risico lopen, zonder dit te verwachten. Daarnaast worden systeembeheerders die schrijfrechten voor een upload map instellen niet gewaarschuwd dat de map mogelijk al uitvoerrechten heeft of wordt dit automatisch uitgeschakeld. "Iets wat Microsoft als een zwakke configuratie omschrijft." Het beveiligingsbedrijf vindt dat het niet voldoende van Microsoft is om systeembeheerders naar de documentatie te verwijzen, voor onverwacht gedrag dat een beveiligingsrisico vormt.

Semantiek
Microsoft liet weten dat het het gedrag van IIS 6.0 op hetzelfde niveau als andere versies gaat brengen. "Hoewel Microsoft de schuld bij hun klanten legt voor het niet juist configureren van hun IIS-servers, erkennen ze wel dat er een probleem is dat moet worden opgelost. Uiteindelijk lijkt het erop dat we het over semantiek hebben en of Microsoft dit liever een lek, zwakte, feature of iets anders noemt is aan hen, zolang ze maar een update uitbrengen."