問題点を指摘したのは、nCircleのシニア・セキュリティ・エンジニア、タイラー・レグリー（Tyler Reguly）氏。同氏によると、10日に公開されたセキュリティ・パッチ「MS09-008」は、すべてのユーザーに対して問題修正を行うものではないという。
　「ベンダーからパッチを入手したら、ある程度のセキュリティは確保されるものと考えるのが普通だ。しかし、MS09-008は問題を軽減するだけで、パッチを当てるわけではない。そのため、ユーザーの多くは、まだ脆弱性を抱えていることに気づかずにいる」（レグリー氏）
　3月10日にリリースされた3つのセキュリティ・パッチの1つ、MS09-008は、WindowsのDNSおよびWINSサーバに潜む4種類の脆弱性に対処するもので、Windows 2000 Server、Windows Server 2003、Windows Server 2008を含む、現在サポートされているすべてのサーバ・エディションが適用対象となっていた（関連記事）。
　しかし、レグリー氏の話では、Windows DNSサーバの「WPAD」（Web Proxy Auto-Discovery）機能の脆弱性に対するアップデート部分だけは例外だという。
　「WPADはマシン上でプロキシ・サーバを自動設定するプロトコルだ。Internet Explorerなどのブラウザが『Automatically Detect Settings』（設定を自動的に検出する）に設定されている場合、そのブラウザは『wpad.company.com』を探し、コンフィギュレーション・ファイルを解決／取得しようとする。ところが、もし攻撃者がWPADエントリを操作できるとなると、それらマシンから送られるすべてのトラフィックがその攻撃者のサーバを通ることになる。つまり、攻撃者はMITM攻撃（Man-in-the-Middle：中間者攻撃）を仕掛けてパスワードなどの個人情報を盗めるわけだ」（レグリー氏）

さらにまずいことに、MS09-008は、すでにWPADエントリを持つサーバでは実行することさえできない。「有効な（WPAD）エントリがあると、そのエントリにはパッチが適用されない」とレグリー氏は指摘する。
しかも、管理者に対してMicrosoftは、いつアップデートが実行されるのかを伝えてさえいない。「保護されていると思っていて、実はそうでないことがあるわけだ。WPADエントリを持つシステムにセキュリティ・パッチをインストールしようとする管理者に対し、例えばパッチが適用されなかったことをエラー・メッセージなどで知らせるというように、Microsoftは配慮するべきだった」と同氏は残念そうに話す。