Die Schwachstelle steckt in einem Kernelmodus-Anti-Cheat-Treiber, also einer Komponente, die mit den höchsten Systemrechten direkt im Betriebssystemkern läuft. Der Fehler liegt in einem der IOCTL-Handler des Treibers – das sind die Schnittstellen, über die normale Programme im Benutzermodus Anfragen an den Treiber stellen. Ein gewöhnlicher Prozess kann ein Gerätehandle zum Treiber öffnen und ihm gezielt präparierte IOCTL-Anfragen schicken. Der Treiber führt diese Anfragen im Kernelkontext aus, ohne die Berechtigung des Aufrufers zu prüfen oder eine Authentifizierung zu verlangen. Dadurch kann ein Angreifer beliebige Prozesse beenden – darunter auch kritische System- und Sicherheitsdienste –, und das ganz ohne Administratorrechte. Praktisch bedeutet das, dass selbst ein unprivilegierter Schadprozess Schutzsoftware oder zentrale Betriebssystemdienste gezielt abschalten und so den Weg für weitere Angriffe ebnen kann.