Die Schwachstelle steckt im Code für die IPsec-ESP-Transformation des Linux-Kernels, konkret in den Komponenten für die IPv4- und IPv6-Verarbeitung von ESP (Encapsulating Security Payload, dem Teil von IPsec, der Datenpakete verschlüsselt und kapselt). Dort tritt ein Heap-Pufferüberlauf auf: Es werden mehr Daten in einen im Heap-Speicher reservierten Bereich geschrieben, als dieser fasst, sodass angrenzende Kernel-Objekte überschrieben werden. Ausnutzen lässt sich der Fehler lokal – ein Angreifer benötigt lediglich ein gewöhnliches Benutzerkonto ohne besondere Rechte, also keinen Administratorzugang. Durch das gezielte Überschreiben von Datenstrukturen im Kernel-Heap kann er seine Berechtigungen ausweiten und sich so erhöhte Rechte auf dem System verschaffen. Betroffen ist damit der Kern des Betriebssystems selbst; gelingt der Angriff, kann ein einfacher Nutzer die Kontrolle über das gesamte System erlangen.