Ngày 23/12/2009, một lỗ hổng zero-day trong phần mềm web server Microsoft IIS đã được công bố: IIS cho phép thực thi mọi tệp tin với phần mở rộng bất kỳ như một trang web ASP hoặc các định dạng tệp tin thực thi khác. Điều đó có nghĩa là các website sử dụng Microsoft IIS có thể bị nguy hiểm.

Hacker có thể khai thác lỗ hổng này bằng cách lợi dụng kẽ hở trong quá trình upload các tệp tin lên máy chủ. Cụ thể, nhiều trình upload bảo vệ hệ thống bằng cách coi phần cuối của tên tệp tin là phần mở rộng và kiểm tra phần mở rộng này. Để vượt qua cơ chế bảo vệ trên, hacker có thể chèn thêm một dấu chấm phẩy (;) hoặc dấu hai chấm (:) cùng với phần mở rộng mới vào sau tên các tệp tin thực thi “.asp”, “.cer”, “.asa”… Chẳng hạn, tệp tin “backdoor.asp;.jpg” có thể được thực thi như một tệp tin .asp trên máy chủ.

Lỗ hổng này có trong các phiên bản 6.0 trở về trước của phần mềm Microsoft IIS và gây ảnh hưởng tới nhiều ứng dụng web bởi phần lớn các trình upload có thể bị vượt qua bởi lỗ hổng trên.

Hiện tại lỗ hổng chưa được vá.