Die Schwachstelle betrifft xrdp, einen quelloffenen RDP-Server, mit dem sich Nutzer per Remote-Desktop-Protokoll mit einem System verbinden. Der Fehler ist ein Pufferüberlauf auf dem Stack, der ohne vorherige Anmeldung ausgelöst werden kann. Ursache ist eine unzureichende Längenprüfung beim Verarbeiten der vom Nutzer übermittelten Domäneninformationen während des Verbindungsaufbaus. Ein Angreifer aus der Ferne kann dadurch den Stack-Puffer und die Rücksprungadresse überschreiben und so theoretisch den Programmablauf umlenken – im Ergebnis lässt sich auf dem Zielsystem beliebiger Code ausführen. Da der Angriff bereits im frühen Verbindungsaufbau und ohne gültige Zugangsdaten greift, ist jeder aus dem Netz erreichbare xrdp-Dienst unmittelbar exponiert. Wurde die ausführbare Datei mit Stack-Canary-Schutz übersetzt, wird die Ausnutzung erschwert: Dann müsste der Angreifer den Canary-Wert über eine zweite Schwachstelle erst auslesen. Auf produktiven Systemen sollte man sich jedoch nicht allein auf diesen Schutzmechanismus verlassen.