Die Schwachstelle betrifft Copilot Studio und besteht in der Preisgabe vertraulicher Informationen an eine nicht berechtigte Partei. Aufgrund eines Fehlers können sensible Daten gegenüber Stellen offengelegt werden, die eigentlich keinen Zugriff darauf haben dürften. Ausnutzbar ist die Lücke über das Netzwerk und ohne vorherige Anmeldung: Ein nicht authentifizierter Angreifer kann aus der Ferne auf schützenswerte Informationen zugreifen und diese einsehen, ohne dafür gültige Zugangsdaten oder eine Benutzerinteraktion zu benötigen. Da weder eine Authentifizierung noch lokaler Zugriff erforderlich ist, steht der Angriffsweg überall dort offen, wo der Dienst über das Netzwerk erreichbar ist. Im Vordergrund steht dabei der Verlust der Vertraulichkeit – der Angreifer gewinnt Einblick in Daten, deren Inhalt sich für weitere Angriffe oder zur Ausspähung verwenden lässt.