Die Schwachstelle betrifft die Anwendung CPSD CryptoPro Secure Disk, die vor der eigentlichen Windows-Anmeldung ein kleines Linux-Betriebssystem startet. Dieses Linux-System übernimmt die Benutzeranmeldung und entschlüsselt anschließend über BitLocker die Windows-Partition. Das Linux-System selbst liegt jedoch auf einer separaten, unverschlüsselten Partition, auf die jeder zugreifen kann, der physischen Zugriff auf die Festplatte hat. Zwar prüft das System beim Start mehrere Mechanismen die Integrität des Linux-Systems und der Programmdateien – darunter die Integrity Measurement Architecture (IMA) des Linux-Kernels – und meldet veränderte Dateien als Fehler. Allerdings werden die Konfigurationsdateien von der IMA nicht erfasst und können daher unbemerkt verändert werden, sofern keine andere Prüfung greift. Über manipulierte Konfigurationsdateien kann ein Angreifer beliebigen Code im Kontext des Root-Benutzers ausführen, etwa eine Hintertür einschleusen und während des Betriebs auf Daten zugreifen. Voraussetzung ist der physische Zugriff auf den Datenträger.