Internet Explorer posee una característica: Su detección de tipo de documento es muy floja. Por eso, a veces IE ve HTML donde realmente no hay. Y esta "freature" puede ser explotada para fines maléficos. En el post se da un ejemplo, con una simple imagen.