Standardowym narzędziem w środowisku aplikacji webowych dla platformy Windows jest ASP.NET i wiele serwisów zostało wykonanych przy pomocy tego narzędzia. Wszystkie te serwisy, które zostały napisane za jego pomocą i wykorzystują SSL, mogą być podatne na atak przechwycenia danych, wykorzystujący bardzo poważny błąd w obsłudze szyfrowanych cookies sesji. Framework ten wykorzystuje do szyfrowania cookies powszechnie uznany algorytm AES, zatem wydaje się być bezpieczny, dopóki nikt nie złamie samego algorytmu (co obecnie jest mało prawdopodobne). Jednak luka w implementacji obsługi błędów przy wykrywaniu modyfikacji szyfrowanego cookie umożliwia stopniowe zawężanie zbioru kluczy używanych do sesji online. W ten sposób można odtworzyć zaszyfrowane cookies sesji, podrobić ticket uwierzytelnienia, a także przeprowadzić inne ataki.

Badacze Thai Duong i Juliano Rizzo opracowali narzędzie Padding Oracle Exploit Tool, służące do demonstracji podatności serwerów. Było ono już stosowane przy poprzednich pracach związanych z wykrywaniem luk w serwerach JavaServer Faces i innych frameworkach webowych. Wyniki badań udowadniają, że luka jest obecna we wszystkich aplikacjach utworzonych za pomocą ASP.NET, umożliwiając deszyfrowanie cookies, przeglądanie stanu sesji, ticketów uwierzytelnienia formularzy, haseł, danych użytkownika oraz wszystkich innych informacji zaszyfrowanych za pomocą API tego frameworku.

Rizzo uważa, że "podatność ta dotyczy frameworku używanego w 25% amerykańskich stron internetowych, przy czym skutki zależą od aplikacji instalowanej na serwerze, od przechwycenia informacji, do całkowitego przejęcia kontroli nad systemem".

Pierwsze stadium ataku wymaga kilku tysięcy zapytań, ale po udanym ataku, umożliwiającym przechwycenie kluczy, dalsze działania włamywacza są całkowicie niewidoczne. Według badaczy, do tego ataku nie jest potrzebna żadna zaawansowana wiedza związana z kryptografią, gdyż nawet amator może przeprowadzić włamanie w ciągu zaledwie kilku godzin.