Die Schwachstelle steckt im pgcrypto-Modul von PostgreSQL, das kryptografische Funktionen für die Datenbank bereitstellt. Es handelt sich um einen Heap-basierten Pufferüberlauf: Bei der Verarbeitung von Chiffretext schreibt das Modul über die Grenzen des dafür vorgesehenen Speicherbereichs auf dem Heap hinaus. Wer einen präparierten Chiffretext einschleusen kann, vermag dadurch beliebigen Code auszuführen – und zwar mit den Rechten des Betriebssystem-Benutzers, unter dem der Datenbankprozess läuft. Damit verlässt der Angriff den Rahmen der Datenbank selbst und reicht bis auf die Ebene des darunterliegenden Servers. Betroffen sind Installationen, die pgcrypto nutzen und bei denen ein Angreifer den zu entschlüsselnden oder zu verarbeitenden Chiffretext kontrollieren kann.