Die Schwachstelle betrifft das Gardyn Home Kit – konkret die Geräte-Firmware, die zugehörige Mobil-Anwendung und die Cloud-Schnittstelle (API) des Systems. In allen drei Komponenten verarbeiten bestimmte Methoden Eingaben, ohne sie vorher zu bereinigen, und reichen die Inhalte direkt an das Betriebssystem zur Ausführung weiter. Daraus ergibt sich eine Befehlsinjektion: Ein Angreifer kann eigene Anweisungen so einschleusen, dass sie als Betriebssystembefehle ausgeführt werden. Im Ergebnis lassen sich beliebige Befehle auf einem betroffenen Home Kit ausführen, wodurch der Angreifer Kontrolle über das Gerät erlangt. Da die Schwäche nicht nur in der lokalen Firmware steckt, sondern auch über die Mobil-App und die Cloud-API erreichbar ist, sind mehrere Zugangswege zum selben Defekt betroffen.