另一方面，黑客也指定这个URL文件使用的图标，是Edge运行档里的PDF文件图标资源，如此一来，用户就很容易误以为他们打开的是PDF文件。

一旦用户运行这个URL文件，IE就会显示下载PDF文件的警示窗口，但若是依照指示打开，电脑却会显示询问是否通过HTML应用程序主机（HTML Application Host）运行。用户要是忽略上述的警示消息点击允许运行，电脑将会下载恶意HTA文件并运行，从而触发漏洞。

为何实际上是存取HTA文件，但用户却看到是要求下载PDF文件的消息？原因在于攻击者在.PDF之后加入许多无法输出的字符，导致使用者很可能以为自己将要存取PDF文件而直接忽略相关警告。

而对于黑客实际的攻击行动，上述的博客文章并未提及。但Check Point研究小组经理Eli Smadja透露，他们至少看到两起攻击行动，其中有人利用上述漏洞散布名为Atlantida的窃资软件。

他们在今年5月中旬，发现使用Atlantida的黑客利用这项漏洞。这些黑客入侵含有弱点的WordPress网站，然后通过HTA及PowerShell文件从事攻击，最终在受害电脑植入窃资软件。这波攻击行动的主要目标，是土耳其及越南的用户。