eEyeの情報によると，今回のセキュリティ・ホールは，ファイル転送用ポートにおける特定のコマンドに存在する。細工が施されたデータをファイル転送用ポートに送られるとバッファ・オーバーフローが発生し，データに含まれる任意のプログラムがWinnyの実行権限で実行される。その結果，Winnyが稼働するコンピュータを攻撃者に乗っ取られる可能性がある。
　実際，同社では今回のセキュリティ・ホールを突いてプログラムを実行できることを確認したとしている。

ということで、一日と持ちませんでしたな。思うに、あまりに作者氏のコメントが自信ありげなんで、JVNもIPAも分かってはいたんだけど、任意コード実行可能だとはあえて書かなかった、ってところでしょうね。
　なんか、まだこんな調子で必死に擁護してる人もいるようですが、でも実態はこうなんだと思うな。