Zavináč v URL slouží k oddělení uživatelského jména a případně hesla od adresy serveru. Například „http://petr:tajnyheslo@cdr.cz/“ říká, že na web cdr.cz se snaží pod uživatelským jménem petr a heslem tajnyheslo někdo přihlásit. Heslo je možné vynechat, takže pak URL může vypadat takto: „http://petr@cdr.cz/“. No a nějací vykukové na Internetu začli používat metodu, která má zmást uživatele. Naservírují jim totiž adresu ve formátu „http://www.cdr.cz@podvrhnuty.cz/“, z které nezkušenému uživateli může připadat, že je na webu www.cdr.cz, ale on je ve skutečnosti na webu podvrhnuty.cz a hlásí se tam uživatelským jménem www.cdr.cz. Navíc tato metoda jde díky chybě v IE ještě zdokonalit.

Tato neznalost uživatelů je už prý využívána pro imitaci faktu, že člověk jako by přistupoval na web své banky, ale přitom leze na web nějakého podvodníka. A Microsoft se tedy rozhodl, že podporu pro předávání jména a hesla před zavináčem z IE odstraní (není známo kdy).