A hiba forrása a jelszókezeló: az alrendszer gondosan odafigyel, hogy a kitöltendő doboz forrását azonosítsa, így véletlenül se kínálja fel a tárolt adatokat illetéktelen helyeken. Ezzel nincs is semmi gond, viszont a küldés folyamata már közel sem ilyen alapos, a kifelé menő adatokat ugyanis semmilyen rutin nem ellenőrzi. Ezt kihasználva az adathalász saját szerverére rögzítheti az innen kapott információkat.
Az exploit ellen egyelőre semmilyen védelem nincs, sőt, az Internet Explorer 7-et használók sincsenek teljesen biztonságban - bár annyival jobb a helyzetük, hogy a Microsoft böngészője a Firefoxnál alaposabban ellenőrzi az űrlapok forrását, így nehezebb rávenni, hogy bármilyen adatot is kiadjon a jelszókezelőből.
A biztonsági hiba az összes verziót érinti, beleértve a 64 bites "Minefield" kódnevű böngészőt is.
