Ce n'était pas une vulnérabilité de sécurité mais seulement un bogue faisant planter le navigateur et nécessitant parfois de redémarrer le système. C'est ce qu'affirme Mike Shaver, VP de l'ingénierie de Mozilla Corporation, sur le blog sécurité de Mozilla à propos d'alertes émises par certaines officines en sécurité dont le SANS. Le bogue, relatif au traitement de certaines chaînes Unicode très longues, existe bien dans Firefox 3.5.1 (et précédents) mais ce n'est pas une faille de sécurité hautement critique, tout juste un déni de service local. « Bien que ces chaînes peuvent résulter en des plantages de certaines versions de Firefox, des rapports par la presse et par divers agences de sécurité ont indiqué à tort qu'il s'agissait d'un bogue exploitable. Nos analyses indiquent qu'il n'en est rien et que nous n'avons constaté aucun exemple d'exploitation », déclare Mike Shaver. SecurityFocus a corrigé son alerte pour indiquer qu'il ne s'agit que d'un déni de service et que le problème ne peut pas être exploité pour exécuter du code.

Sources et références