Поскольку интерфейс браузеров Mozilla построен с использованием языка XUL (XML-язык интерфейсов), а XUL-файлы, пришедшие из интернета дополнительно не проверяются на содержание элементов, перекрывающих стандартный интерфейс, эта ошибка и была использована хакерами для написания скрипта, заменяющего интерфейс браузера.

Источник: http://security.compulenta.ru