Die Schwachstelle steckt im Kernel-Treiber des LSI PCI-SV92EX Soft Modems von Broadcom (Datei AGRSM64.sys), der unter Windows mit höchsten Systemrechten läuft. Der Defekt ist ein Stack-Überlauf in einer Speicherkopierroutine: Beim Verarbeiten eines bestimmten Steuerbefehls (IOCTL) prüft der Treiber die Größe der übergebenen Daten nicht ausreichend, sodass der Stapelspeicher überschrieben werden kann. Ein lokaler Angreifer, der bereits einen Prozess mit mittlerer Integritätsstufe kontrolliert, kann darüber seine Rechte bis zur Stufe SYSTEM ausweiten und damit vollständige Kontrolle über das Betriebssystem erlangen. Weil der eingeschleuste Code dann mit hoher Integrität im Kernel läuft, lassen sich auch Schutzmechanismen wie Virenschutz oder geschützte Prozesse (PPL) aushebeln. Der verwundbare Treiber eignet sich dadurch als Werkzeug für sogenannte BYOVD-Angriffe (Bring Your Own Vulnerable Driver), bei denen Angreifer einen legitimen, aber fehlerhaften Treiber gezielt einschleusen – ein Vorgehen, das unter anderem in Ransomware-Kampagnen genutzt wird.