Windows 2000 / XP で、ログオン画面でシャットダウンボタンをクリックすることができるかどうかは、恐らく Windows の仕様通りの動作では、セキュリティ ポリシー レジストリ項目の中の [セキュリティ オプション] → [シャットダウン: システムをシャットダウンするのにログオンを必要としない] が無効になっていればボタンを灰色にしてクリックできなくして、無効以外の値になっていればボタンをクリックできるようにする、というものがあるだろう。Windows の内部実装の仕様書を読んだ訳ではないが、セキュリティ ポリシーのエディタのポリシー名にそう書いてあるので、恐らく上記の通りの仕様になっていもと思われる。
したがって、考え方によっては、[シャットダウン: システムをシャットダウンするのにログオンを必要としない] が有効になっている場合 (大抵のコンピュータのデフォルト値) では、ローカルでもリモートデスクトップ経由でも、「ログオンしていないのにシャットダウンできる」というのは、仕様通りの動作である、と言うことができるだろう。
したがって、レジストリの設定値によってボタンを灰色にするかしないかの挙動を変えるのは、Windows の仕様に則ったものであり、下記の議論である IBM 製指紋認証ツールのログオン画面が、上記仕様通りに動作していること自体は、不具合でも脆弱性でも何でもなく、正しい動作である。

しかしながら、私は IBM 製指紋認証ツールの仕様通りの当然の動作は、一部のユーザーにとってはコンピュータを使いにくくする原因となる (理由は下記) ので、修正したほうが良い (MS 製ログオン DLL のように、リモート経由の場合はシャットダウンボタンを灰色にするべきだ) という提案をした。そのことを詳しく書いたのが下記である。
下記の問題提起は、指紋認証用のログオン画面自体には脆弱性は無く仕様通りに正しく動作しているが、リモート経由の場合はその仕様にあえて従わずに強制的にボタンを灰色にしたほうが安全なのではないか？ という『改善提案』であり、『脆弱性の公開』などといった類のものではない。