Le chercheur pakistanais, Muhammad Faisal Rauf Danka, a déterminé qu'en tapant une adresse web spécifique, contenant la phrase «emailpwdreset», il pouvait s'emparer de n'importe quel compte Passport. Il indique avoir envoyé 10 courriels à Microsoft, expliquant ce qu'il avait découvert, mais n'avoir jamais reçu de réponse. M. Sohn, directeur de produit chez Microsoft, a indiqué que la compagnie enquêtait afin de déterminer comment elle avait pu ne pas voir ces rapports.  
 
[...]
 
Microsoft a fermé le site Web en question tard mercredi soir, environ une heure après que les détails de la faille eurent été publiés sur Internet.