Верно ли, что WebResource.axd потенциально может возвращать любой файл в приложении?

Существует много дискуссий о сегодняшнем исправлении для ASP.NET, предотвращающем атаку, которая может быть использована для получения ключей шифрования из приложения. В одном из обсуждений я прочитал, что его также можно использовать для создания WebResource. Обработчик axd возвращает любой файл в приложении, подделывая параметры запроса, чтобы они указывали на известное расположение файла (где /web.config будет наиболее очевидным выбором).

Это правда?