La vulnerabilidad ha sido descubierta por Hai Nam Luke y está causada por un fallo de "condición de desincronización" (Race condition) cuando se carga una web que contenga archivos en formato Macromedia Flash (.swf).

Este fallo hace que la dirección que muestra la "barra de direcciones" del Internet Explorer pueda no correspoder con el contenido real que estamos viendo en la ventana del navegador.

Este tipo de vulnerabilidades pueden ser utilizadas en ataques phising para dar mayor veracidad a la falsa web o mail.

La vulnerabilidad ha sido confirmada en sistemas con Internet Explorer 6.0 y 7 Beta 2 Preview sobre Windows XP SP1/SP2

La gente de Secunia ha creado una demostración para comprobar el fallo:
http://secunia.com/Internet_Explorer_Address_Bar_Spoofing_Vulnerability_Test/