Durante le vacanze di Natale è stata riportata una vulnerabilità per IIS 6.0 (Windows Server 2003), per cui se mettete un ; in mezzo ad un path, per come IIS gestisce l'accesso al disco, viene invocato l'handler sbagliato. Supponiamo di richiamare

http://www.miosito.local/pagina.aspx;test.jpg

Se avessimo uploadato un file con questo nome nella directory, verrebbe eseguire come se si trattasse di una pagina ASP.NET.

In realtà ci sono un po' di considerazioni che mitigano il problema, tutte riportate qui.

IIS 7.0 e 7.5 (Windows Server 2008 e 2008 R2) ne sono immuni.