Die Schwachstelle betrifft OpenSSH und tritt auf, wenn die Option VerifyHostKeyDNS aktiviert ist – also wenn der Client den Host-Schlüssel des Servers über entsprechende DNS-Einträge überprüfen lässt. Der Defekt liegt darin, dass OpenSSH unter bestimmten Bedingungen die Fehlercodes bei dieser Prüfung des Host-Schlüssels falsch behandelt. Dadurch kann ein Angreifer einen Machine-in-the-Middle-Angriff durchführen: Eine bösartige Maschine gibt sich als der legitime Server aus, und durch die fehlerhafte Auswertung greift die eigentlich schützende Host-Schlüssel-Verifikation nicht mehr zuverlässig. So lässt sich die verschlüsselte Verbindung von einem Dritten zwischenschalten und der Datenverkehr abfangen oder manipulieren. Voraussetzung für einen erfolgreichen Angriff ist allerdings, dass der Angreifer zuvor den Arbeitsspeicher des Clients erschöpft. Diese Bedingung muss aktiv herbeigeführt werden und erhöht den Aufwand für einen Angriff erheblich, weshalb die Ausnutzung in der Praxis anspruchsvoll ist.