Die Schwachstelle steckt im Treiber K7RKScan.sys, einem Bestandteil der Sicherheitssoftware K7 Security Anti-Malware. Der Defekt liegt im IOCTL-Handler des Treibers: Dort fehlt eine Zugriffskontrolle, die prüfen würde, ob der aufrufende Benutzer überhaupt zu der angeforderten Aktion berechtigt ist. Dadurch kann ein lokal angemeldeter Benutzer mit niedrigen Rechten speziell präparierte IOCTL-Anfragen an den Treiber senden und auf diesem Weg privilegierte Operationen im Kernel-Bereich auslösen. Konkret lässt sich damit eine breite Auswahl an Prozessen beenden, die eigentlich mit Administrator- oder Systemrechten laufen – ausgenommen jene Prozesse, die das Betriebssystem von sich aus schützt. Ein unprivilegierter Nutzer erlangt so die Möglichkeit, kritische Dienste oder privilegierte Anwendungen gezielt abzuschießen. Die Folge ist eine Dienstblockade (Denial of Service), bei der zentrale Funktionen des betroffenen Systems gestört oder lahmgelegt werden.