Die Schwachstelle liegt in der Navigation API, einer Programmierschnittstelle der Browser-Engine, über die Webseiten Navigationsvorgänge steuern. Dort wurden Eingaben über die Grenzen verschiedener Herkünfte (Origins) hinweg unzureichend geprüft. Dadurch lässt sich die Same Origin Policy umgehen – jener grundlegende Schutzmechanismus, der dafür sorgt, dass Inhalte einer Website nicht ungehindert auf Daten oder den Kontext einer anderen Website zugreifen können. Ausgelöst wird der Fehler durch das bloße Verarbeiten speziell präparierter Webinhalte: Ruft das Opfer eine bösartig gestaltete Seite auf, kann diese die Trennung zwischen unterschiedlichen Herkünften aushebeln und so etwa auf Inhalte anderer Websites zugreifen, die eigentlich abgeschottet sein sollten. Betroffen ist die Browser-Engine, die in Safari sowie in den Apple-Betriebssystemen für iPhone, iPad, Mac und das räumliche Betriebssystem zum Einsatz kommt. Da nur der Aufruf einer manipulierten Seite genügt, eignet sich die Lücke gut für Angriffe über untergeschobene Links.