Die Schwachstelle steckt in den Treibern WinRing0.sys und WinRing0x64.sys, die mit der Übertaktungs- und Monitoring-Software EVGA Precision X1 ausgeliefert werden. Diese Treiber stellen Funktionen bereit, mit denen sich beliebige Speicherbereiche des Systems lesen und beschreiben lassen – und zwar ohne ausreichende Zugriffsbeschränkung. Dadurch können auch lokale Benutzer und sogar Prozesse mit niedriger Integritätsstufe, also stark eingeschränkte Programme, auf den gesamten physischen Speicher zugreifen. Ein Angreifer kann den physischen Speicher in den eigenen Prozess einblenden und über diesen direkten Speicherzugriff seine Rechte ausweiten, bis er die höchsten Systemrechte (NT AUTHORITY\SYSTEM) erlangt. Damit erhält er die vollständige Kontrolle über den betroffenen Rechner. Voraussetzung ist ein bereits vorhandener lokaler Zugang; eine Anmeldung mit besonderen Berechtigungen ist jedoch nicht nötig, da bereits unprivilegierte Prozesse den Treiber missbrauchen können.