วิธีทดสอบ: สร้างโฟลเดอร์ test.asp ใน FTP ชื่อโฟลเดอร์คือ test.asp อัปโหลดไฟล์ hack.jpg ในโฟลเดอร์นี้ซึ่งสามารถเป็น <%=now%> ได้โดยตรง จากนั้นใช้ IE เพื่อ เข้าถึง hack.jpg นี้จากระยะไกล และคุณจะพบว่ามันทำงานเป็นไฟล์ ASP ด้วย! แน่นอนว่า ตราบใดที่โปรแกรมเว็บไซต์ของคุณอนุญาตให้ผู้ใช้สร้างโฟลเดอร์และอัพโหลดรูปภาพ แฮกเกอร์ก็สามารถอัพโหลดรูปภาพเพื่อเรียกใช้เป็น ASP Trojans ได้
วิธีแก้ไข: ในการตั้งค่าตัวเลือกการอนุญาตการดำเนินการ ให้เปลี่ยนไดเร็กทอรีที่มีสิทธิ์การอัปโหลดโดยตรง และยกเลิกสิทธิ์การทำงานของ ASP เพื่อแก้ไขปัญหานี้