В процессе инсталляции Microsoft SQL Server сохраняет инсталляционную информацию, включая пароли, в файле setup.iss (в директориях %windir% и %sqlserverinstance%\install), который не удаляется после установки SQL сервера и к которому имеет доступ на чтение группа everyone. Информация хранится в зашифрованном виде (в Microsoft SQL Server 7.0 до sp4 в открытом), используя слабые алгоритмы шифрования.
Уязвимость обнаружена в Microsoft Data Engine 1.0, Microsoft SQL Server 7.0-2000.
