Algunas cuentas de Passport fueron creadas con anterioridad a la pregunta secreta para aquellos casos en los que el usuario se olvidase la clave secreta y que contiene "mala información", según ha afirmado Jeff Jones, director de seguridad en Microsoft. Con esta información, los atacantes pueden llegar a reiniciar para las cuentas de correo.

Microsoft no ha ofrecido datos sobre el número de usuarios que han podido verse afectados por esta vulnerabilidad aunque, según Jones, "seguro que es mínima porque sólo afecta a usuarios con cuentas anteriores a 1999 para los cuales aún no se había establecido pregunta secreta".