Сообщается, что если вставить в сообщение всего несколько строк JavaScript-кода, то копия ответа получателя, принявшего его на почтовый клиент с включенной поддержкой JavaScript и переадресовавшего кому-то еще со своими дополнениями или комментариями, будет отправлена также первоначальному отправителю.
Например, пользователь послал электронное письмо своему коллеге, тот, в свою очередь, переадресовал его другому и т. д. В итоге первый отправитель может сделать так, чтобы ему приходили копии всех переадресованных писем и ответов, содержащих первоначальный текст. В том случае, если получатель отключит поддержку JavaScript, то скрипт сработает, когда письмо получит другой пользователь, у которого включена поддержка JavaScript.
Специалисты из Privacy Foundation призывают производителей ПО при распространении почтовых клиентов выключать по умолчанию поддержку JavaScript. По словам этой группы, данная лазейка может сделать чтение чужой почты очень популярным занятием.
Как заявил главный технолог Privacy Foundation Ричард Смит, "многие из нас не начнут специально распространять компьютерные вирусы, но вышеописанной брешью воспользуются многие. А особенно в том случае, если появится готовый код в свободном распространении".