Khai thác lỗi tràn bộ đệm được biết đến đầu tiên là vào năm 1988. Đó là một trong các khai thác mà sâu Morris sử dụng để lan truyền chính mình trên Internet. Chương trình đã bị khai thác là một dịch vụ Unix có tên fingerd.[13]

Sau đó, vào năm 1995, Thomas Lopatic đã tái phát hiện hiện tượng tràn bộ đệm một cách độc lập và công bố phát kiến của mình trên danh sách thư an ninh Bugtraq.[14] Một năm sau, 1996, Elias Levy (còn gọi là Aleph One) công bố trên tạp chí Phrack bài báo "Smashing the Stack for Fun and Profit" (Phá bộ nhớ stack cho vui và để thu lợi),[15], đây là một hướng dẫn từng bước cho việc khai thác các lỗ hổng tràn bộ đệm trên stack.

Từ đó, ít nhất hai con sâu Internet đã khai thác lỗi tràn bộ đệm để xâm phạm hàng loạt hệ thống lớn. Năm 2001, Sâu Code Red khai thác lỗi tràn bộ đệm trong chương trình Internet Information Services (IIS) 5.0 của Microsoft[16], và vào năm 2003, sâu SQLSlammer đã phá hoại các máy chạy Microsoft SQL Server 2000.[17]