Die Schwachstelle steckt im Netzwerk-Filter-Subsystem des Linux-Kernels, genauer im nftables-Code, der Paketfilterregeln verwaltet. Beim Abbruch einer fehlgeschlagenen Transaktion müssen sogenannte Catchall-Map-Elemente, die zuvor deaktiviert wurden, wieder aktiviert werden. Eine zuständige Funktion prüft jedoch genau verkehrt herum, welche Elemente aktiv und welche inaktiv sind: Sie überspringt die inaktiven Elemente, die eigentlich wiederhergestellt werden müssten. Dadurch wird bei einem abgebrochenen Löschvorgang der Referenzzähler einer Verkettungs-Struktur nicht korrekt zurückgesetzt, sondern bei jedem Abbruch dauerhaft heruntergezählt. Erreicht der Zähler null, lässt sich die Struktur freigeben, obwohl noch verweisende Elemente darauf zeigen – es entsteht eine Use-after-Free-Situation, also ein Zugriff auf bereits freigegebenen Speicher. Ausnutzbar ist dies lokal: Ein unprivilegierter Nutzer kann über Benutzer-Namespaces in Verbindung mit nftables seine Rechte ausweiten und so auf betroffenen Systemen erhöhte Berechtigungen erlangen.