Uzbrucēji var ļaunprātīgi izmantot šos "caurumus", lai HTML lapā ievietotu jebkuru JavaScript kodu un to izpildītu citādi drošas lapas kontekstā. Tas ļauj uzbrucējiem, piemēram, iegūt sīkdatnes vai ievietot forumā komentārus jebkura tā dalībnieka vārdā - tādu XSS nepilnību ir papilnam. Korporācijai Microsoft šī problēma esot zināma jau vairākus mēnešus, taču līdz šim nav nekādas reakcijas.

Nav arī sniegta informācija par minētās problēmas iemeslu. Kā uzskata Džordžo Maone, pārlūkprogrammas Firefox iespraudņa NoScript autors, iemesls ir kāds būtisks trūkums programmatūras uzbūvē. Maone stāsta, ka ar šo problēmu saskāries, kad kopā ar citiem izstrādātājiem analizējis dažādu pārlūkprogrammu līdzekļus aizsardzībai pret XSS. Taču sarunā ar "heise Security" vietni viņš norāda, ka šo informāciju publicēs tikai tad, kad būs atrasts risinājums, un pauž pārliecību, ka tie, kuriem zināms, kā darbojas IE8 XSS filtrs, bez grūtībām paši var reproducēt minēto problēmu.

Internet Explorer 8 XSS filtrs, atšķirībā no NoScript, meklē aizdomīgu kodu serveru atbildēs, nevis klienta pieprasījumos – un pēc vajadzības modificē šīs atbildes. Tātad uzbrucējam ir iespējams īpaši sagatavot servera atbildi un ievietot tajā jebkuru kodu. Tomēr Maone uzsver, ka nepieciešams, lai uzbrucējs arī daļēji varētu ietekmēt upura apmeklētās tīmekļa lapas saturu. Tāda iespēja ir, piemēram, sociālo tīklu lapās, forumos, wiki (kolektīvi veidojamās) lapās un – principā – arī Google programmās. Taču Google pārraida galveni X-XSS-Protection: 0 un tādējādi izslēdz Internet Explorer XSS filtru. Google atzīst, ka to dara drošības interesēs. Kompānijai ir zināms par minēto IE ievainojamību, un tā cenšas aizsargāt lietotājus, kamēr Microsoft nav izlaidusi labojumu.