Die Schwachstelle betrifft React Router, eine weit verbreitete Routing-Bibliothek für React-Anwendungen, und zwar deren Komponente , die die Wiederherstellung der Scroll-Position beim Seitenwechsel steuert. Der Fehler tritt im sogenannten Framework Mode beim serverseitigen Rendering (SSR) auf, wenn die Eigenschaften getKey beziehungsweise storageKey verwendet werden. Werden die damit erzeugten Schlüssel aus nicht vertrauenswürdigen Inhalten gebildet, kann ein Angreifer eigenen Code einschleusen: Es entsteht eine Cross-Site-Scripting-Lücke (XSS), über die sich beliebiger JavaScript-Code bereits während des serverseitigen Renderings ausführen lässt. Damit greift die Ausführung nicht erst im Browser des Besuchers, sondern schon beim Aufbau der Seite auf dem Server. Nicht betroffen sind Anwendungen, bei denen das serverseitige Rendering im Framework Mode deaktiviert ist, sowie Projekte, die stattdessen den Declarative Mode () oder den Data Mode (createBrowserRouter/) nutzen.