Pasinaudodami informacija apie visas su WMF spraga susijusias atakas, virusų medžiotojai rado įrodymų, kad šios spragos išnaudojimo kodas buvo pagamintas ir parduotas Rusijos įsilaužėlių grupės.
Pirma tokia ataka buvo aptikta jau 2005 metų gruodžio viduryje, t.y. jau dvi savaitės prieš tai, kai antivirusinės programinės įrangos bendrovės pradėjo pranešinėti apie keistą „Windows Meta File“ elgesį.
„Šio atvejo ypatumas yra tas, kad pažeidžiamumą pirmiausia atrado grupė dirbanti nelegaliai. Gruodžio viduryje šis pažeidžiamumas buvo siūlomas keliuose specializuotose tinklapiuose. Dvi ar trys Rusijos įsilaužėlių grupės pardavinėjo tokį kodą už 4000 JAV dolerių“, - sakė Aleksandras Gostevas virusų ir kenksmingo kodo inžinierius iš „Kaspersky Labs“.
Kol šis kodas nebuvo pritaikytas „spyware“ ir „adware“ tipo programinės įrangos gamybai, neišaiškėjo ir pats spragos faktas.
Remiantis visais duomenimis, pažeidžiamumas buvo aptiktas maždaug pirmą gruodžio (2005 metų) dieną. Taip pat aišku, kad šis pažeidžiamumas tikrai nebuvo persiųstas „eEye“ ar „iDefense“, kompanijoms, kurios užsiima apsaugojimu nuo pažeidžiamumų.