Die Schwachstelle betrifft HTTP.sys, den im Windows-Kernel angesiedelten Treiber, der HTTP-Anfragen entgegennimmt und verarbeitet. Ursache ist eine fehlerhafte Zugriffskontrolle: Berechtigungen werden an dieser Stelle nicht korrekt durchgesetzt. Ausnutzen lässt sich der Fehler über das Netzwerk, allerdings benötigt der Angreifer bereits einen gültigen, wenn auch nur eingeschränkten Zugang zum System. Auf dieser Grundlage kann er sich höhere Rechte verschaffen und so seine Berechtigungen über die ihm eigentlich zugestandene Stufe hinaus ausweiten. Da HTTP.sys auf Kernel-Ebene arbeitet und eine zentrale Rolle bei der Verarbeitung eingehender Web-Anfragen spielt, ist die Komponente ein attraktives Ziel; eine erfolgreiche Rechteausweitung kann dem Angreifer weitreichende Kontrolle über das betroffene Windows-System verschaffen.