Unter Format-String-Schwachstellen versteht man gemeinhin eine – im Vergleich zu Buffer Overflows – relativ neue, eigenständige Klasse von Software-Schwachstellen. Obwohl die zugrunde liegende Theorie schon einige Zeit zuvor erörtert wurde, kam es erst in der ersten Hälfte des Jahres 2000 zu einer öffentlich bekannt gewordenen Ausnutzung dieser Software-Schwachstellen in Form mehrerer Exploits.

Das erste öffentliche Bekanntwerden von Format-String-Schwachstellen geht dabei auf Tymm Twillman zurück, der 1999 im Zuge eines Audits des ProFTPD 1.2.0pre6-Quellcodes eine entsprechende Schwachstelle ausfindig machte. Er veröffentlichte daraufhin im September 1999 seine Ergebnisse in einem Posting an die Bugtraq ...