Исследователи нашли способ запускать вредоносный код на VML в Outlook, не пользуясь сценарными языками, обработка которых почтовым клиентом блокируется. Внедряя инструкции командного интерпретатора Windows ("шеллкод") в код VML, атакующий может запускать на системе пользователя посторонние программы. Таким образом, для проведения атаки достаточно отправить пользователю HTML-сообщение с вредоносной VML-вставкой, и при определенных условиях Outlook автоматически запустит ее на исполнение. На Outlook Express ошибка не распространяется. Сейчас выпущено неофициальное исправление для данной ошибки, а Microsoft работает над разработкой и тестированием официальных обновлений.