Demnach interpretiert die Suchsoftware das kaufmännische Und-Zeichen ("&") falsch. Dies habe zur Folge, dass Beispiele für HTML-Instruktionen, die der Browser nicht als Kommandos interpretieren soll, von Lycos als Tags angesehen und entsprechend verarbeitet werden. Würde ein Autor in seiner HTML-Seite "<input>" schreiben, um die Verwendung des Input-Tag zu erläutern, würde die Suchmaschine ein Eingabefeld anzeigen und nicht, wie vom HTML-Schreiber beabsichtigt, den Text "<input>".
Die Gefahr besteht nun darin, dass Hacker diese Lücke gezielt ausnutzen, um Lycos-Nutzern Schaden zuzufügen, meint der Sicherheitsexperte.
Lycos interpretiert HTML-Instruktionen als TagSuchmaschinen durchforsten die ersten Zeilen von HTML-Seiten nach Schlüsselwörtern, um die Seite zu indizieren. Dort versteckte Kommandos würden dann von der Ergebnisseite der Lycos-Site als HTML-Syntax interpretiert werden. Auf diese Weise lassen sich nach Ansicht von Siberian Javascripts einschleusen, die beispielsweise Browser-Fenster mit dubiosen Inhalten öffnen oder über Active X Schadensroutinen auf den Computer des ahnungslosen Surfers spielen.
Das Diskussionsforum Bugtraq wird von dem auf Sicherheit spezialisierten amerikanischen Online-Service Securityfocus.com betrieben. Der Sicherheitsexperte hat den Fehler bereits zweimal dem amerikanischen Suchdienst mitgeteilt, doch als Antwort bekam er nur eine Nachricht zurück, in der er aufgefordert wurde, Spammer sofort zu melden. Auch eine Anfrage der CW bei Terra Lycos, dem Betreiber von Lycos.com, bezüglich des Postings über den möglichen Bug blieb bisher unbeantwortet. Terra Networks hatte Lycos Inc. übernommen, seitdem firmiert das Unternehmen unter diesem Namen.
Zumindest Lycos Deutschland meldete sich zu Wort und erklärte, die Seiten von Lycos Europe (lycos.de, lycos.uk, lycos.fr, lycos.it sowie lycos.at) seien von diesem Sicherheitsproblem nicht betroffen. "Aufgrund der vielen Sprachen in Europa wurden bei Lycos Europe die Such-Templates umprogrammiert, so dass die Technologie nicht mehr der originalen Technologie von Lycos Inc. entspricht", so eine Firmensprecherin. Von daher sei Lycos Europe nicht identisch mit dem amerikanischen Lycos.com, und dem europäischen Lycos-Nutzer drohe keine Gefahr.