Die Schwachstelle steckt in einem Kernel-Treiber namens wsftprm.sys, der zur Software Topaz Antifraud gehört. Treiber laufen mit den höchsten Rechten im Betriebssystemkern, und dieser Treiber nimmt über eine sogenannte IOCTL-Schnittstelle Steuerbefehle entgegen, ohne ausreichend zu prüfen, wer sie sendet. Dadurch kann bereits ein Angreifer mit niedrigen Benutzerrechten dem Treiber den Befehl erteilen, beliebige Prozesse zu beenden – und zwar gezielt auch solche, die als Protected Process Light (PPL) besonders abgeschirmt sind. Diese Schutzstufe ist eigentlich dafür gedacht, sicherheitsrelevante Prozesse wie Antiviren- und Schutzdienste vor Manipulation und Beendigung zu bewahren. Über diese Lücke lässt sich dieser Schutz aushebeln: Ein lokaler Angreifer kann genau jene Prozesse abschalten, die ein System überwachen und verteidigen sollen, und so den Weg für weitergehende Angriffe freiräumen.