Die Schwachstelle steckt in der Grafikkomponente von Microsoft. Ursache ist eine Race Condition: Mehrere Abläufe greifen gleichzeitig auf eine gemeinsam genutzte Ressource zu, ohne dass deren Zugriff korrekt synchronisiert wird. Durch dieses fehlerhafte Zeitverhalten lässt sich ein Zustand erzeugen, in dem die Ressource in einem inkonsistenten Moment manipuliert werden kann. Ausnutzen kann dies ein bereits angemeldeter Angreifer, der lokalen Zugriff auf das System hat – ein vorheriger, regulärer Zugang genügt also. Über den Fehler verschafft er sich höhere Rechte, als ihm eigentlich zustehen (Privilegienausweitung), und kann so die Kontrolle über das System ausweiten. Der Angriff erfolgt nicht aus der Ferne, sondern setzt voraus, dass der Angreifer das Gerät bereits lokal nutzen kann; ein typisches Szenario ist daher, einen ohnehin vorhandenen Zugang in weitreichendere Systemrechte umzuwandeln.