Die Schwachstelle steckt in der TLS-Implementierung von Node.js, genauer in der Fehlerbehandlung beim Verbindungsaufbau (TLS-Handshake). Betroffen sind TLS-Server, die die Rückruffunktionen für PSK-Authentifizierung (pskCallback) oder für die Protokollaushandlung ALPN (ALPNCallback) verwenden. Wird in einer dieser Funktionen während des Handshakes eine synchrone Ausnahme ausgelöst, umgeht der Fehler die regulären TLS-Fehlerpfade. Die Folge ist entweder ein sofortiger Absturz des Server-Prozesses oder ein stilles Leck von Dateideskriptoren, das nach und nach die verfügbaren Ressourcen erschöpft. Beide Wege führen zu einer Dienstblockade (Denial of Service). Da die genannten Rückruffunktionen Eingaben verarbeiten, die der Gegenseite gehören und vom Angreifer kontrolliert werden, kann ein entfernter Client den Defekt aus der Ferne und ohne Anmeldung wiederholt auslösen und den Server dadurch lahmlegen. Verwundbar sind Server, deren PSK- oder ALPN-Rückrufe Ausnahmen werfen, ohne sicher gekapselt zu sein.