Die Schwachstelle steckt im Airoha Bluetooth Audio SDK, der Softwarebasis für Bluetooth-Audiogeräte. Der Fehler erlaubt es, ein Bluetooth-Audiogerät zu koppeln, ohne dass der Nutzer dem zustimmt – der eigentlich vorgesehene Bestätigungsschritt beim Pairing greift also nicht. Dadurch kann ein Angreifer aus der Ferne eine Rechteausweitung erreichen, ohne dafür zusätzliche Ausführungsrechte zu benötigen. Eine Interaktion des Nutzers ist für den Angriff nicht erforderlich, was die Hürde besonders niedrig hält: Es genügt die Funkreichweite zum betroffenen Gerät, ein unbemerktes Koppeln reicht aus. Da das fehlerhafte SDK in zahlreichen Audiogeräten verschiedener Hersteller verbaut sein kann, betrifft der Defekt potenziell eine breite Geräteklasse und nicht nur ein einzelnes Produkt.