L’une de ces vulnérabilités permet à un attaquant de prendre le contrôle de n'importe quelle machine dotée de AOL Instant Messenger. Le problème qui a été découvert réside dans le fait que pendant l'installation du programme, l’URL de protocole AIM est enregistrée comme un appel à son exécutable. Ceci permet à des utilisateurs d'éditer leur nom dans AOL sur une page Web ou dans un message de courrier électronique. N'importe quel autre utilisateur peut donc ainsi être inclus dans la liste des contacts par le seul fait de cliquer sur le lien.
Le protocole peut permettre la formation d'URL malveillantes avec des paramètres larges qui causent une surcharge de tampon. Si l’URL est ainsi conçue, l'attaquant peut exécuter le code sur la machine de sa victime. Pour que ceci se produise, il suffit que l’usager clique sur un lien malveillant dans un e-mail ou dans une page Web.
Le problème potentiel est très sérieux en raison du grand nombre des utilisateurs qui ont installé ce programme sur leur machine. Selon les données fournies par AOL, plus de 64 millions de personnes utilisent cette messagerie client instantanée. AIM peut être immédiatement téléchargé depuis Internet et est inclus par défaut dans les dernières versions de Netscape Communicator.
