WMF-Dateien verfügen über einen inhaltlichen- und einen Skript-Bestandteil. Immer, wenn Internetseiten zulassen, dass Anwender selbst erstellte WMF-Dateien hochladen, können diese Seiten auch mit Skriptbefehlen gefüllt sein, die Schaden anrichten.
Weil der Windows Media Player in der Voreinstellung Skripte ohne Nachfrage ausführt, haben Angreifer vielfältige Möglichkeiten, den betroffenen Rechner zu korrumpieren. So können Hacker Phishing-Attacken starten, Informationen ausspähen oder das Intranet scannen, in dem sich der Rechner befindet. Auf diesem Weg lässt sich beispielsweise herausfinden, ob sich urheberrechtlich geschütztes Material (etwa mp3-Dateien) auf dem Rechner befindet. Eine Detaillierte Beschreibung der Verwundbarkeiten findet sich auf der
Seite von Rosario Valotta.