Según se indica, unas pocas líneas de JavaScript pueden ser incrustradas en el mensaje y permiten que este sea regresado a la dirección de quien lo envió, cuando el destinatario opte por redirigirlo hacia otra dirección. Sin embargo, esto sólo funciona si el programa de correo electrónico del destinatario puede leer JavaScript.
Los científicos de Privacy Foundation señalaron que debido a que esta tecnología sólo funciona cuando el destinatario está usando un lector de correo electrónico en HTML/JavaScript, tales como Outlook de Microsoft, Outlook Express o la versión 6 de Netscape. No son afectados por esta vulnerabilidad el software de correo electrónico de Qualcomm, Eudora y la versión 6 de AOL, así como Hotmail.
Esta no es una falla del producto, está inherente en la naturaleza del correo HTML, señaló un portavoz de Microsoft. Los clientes que no deseen esta funcionalidad pueden inhabilitarla. En las versiones recientes de correo electrónico ya está inhabilitada.
La preocupación de los científicos es que la vulnerabilidad sea usada por gente que desea obtener información a la que normalmente no tiene acceso.
