Die Schwachstelle steckt im Windows Error Reporting, dem Fehlerberichterstattungsdienst von Windows, der bei Programmabstürzen Diagnosedaten sammelt und verarbeitet. Ursache ist eine fehlerhafte Behandlung unzureichender Berechtigungen: Die Komponente prüft die vorhandenen Rechte nicht korrekt, sodass eine Aktion ausgeführt werden kann, die eigentlich höhere Privilegien erfordern würde. Ein Angreifer, der bereits über gültige Zugangsdaten und damit über einen normalen, eingeschränkten Zugang zum System verfügt, kann diese Lücke lokal ausnutzen, um seine Rechte auszuweiten. Ein Fernzugriff oder das Überwinden einer Anmeldung ist dafür nicht nötig – der Angreifer muss aber bereits Fuß auf dem System gefasst haben. Im Ergebnis verschafft er sich höhere Systemrechte, als ihm zustehen, und kann damit Aktionen durchführen, die einem normalen Benutzerkonto verwehrt bleiben. Solche Rechteausweitungen werden typischerweise als zweiter Schritt nach einem ersten Einbruch eingesetzt, um die vollständige Kontrolle über ein bereits teilweise kompromittiertes System zu erlangen.