卡巴斯基實(shí)驗(yàn)室的研究人員是在調(diào)查垃圾郵件的附加檔案時察覺此事，這些檔案采用OLE2（Object Linking and Embedding，物件連結(jié)與嵌入）格式，既未使用巨集，也沒有攻擊程式或其他惡意元件，卻含有許多導(dǎo)至第三方PHP程式的連結(jié)，當(dāng)他們打開該檔案時，發(fā)現(xiàn)Word處理了其中一個連結(jié)，得以讓駭客取得裝置上的軟件配置資訊。

　　駭客取得的軟件資訊包含瀏覽器品牌與版本、Windows版本、。NET版本或Office版本等。

　　研究人員進(jìn)一步追蹤之後找到一個有問題的欄位—IncludePicture，該欄位原本應(yīng)該使用ASCII格式，卻被Unicode取代，而藉由Unicode架構(gòu)即能觸發(fā)Get請求，以把軟件配置傳送給駭客。

　　卡巴斯基實(shí)驗(yàn)室指出，他們無意間揭露了一個未被公開發(fā)表的Word功能，因?yàn)樵谖④浀腛ffice文件中，對IncludePicture欄位幾無描述。

　　不論如何，研究人員認(rèn)為駭客的動機(jī)應(yīng)該是為了采集資訊以尋找合適的受害者，因此必須先了解受害者裝置上的系統(tǒng)與應(yīng)用程式版本，之後才能展開有效的攻擊。

　　支援IncludePicture功能的除了Windows版的Word之外，還包括Android與iOS上的Microsoft Office。