Die Schwachstelle betrifft den Apache HTTP Server, einen weit verbreiteten Webserver, und genauer dessen Verarbeitung des HTTP/2-Protokolls. Zugrunde liegt ein sogenannter Double-Free-Fehler: Ein und derselbe Speicherbereich wird mehr als einmal freigegeben. Solche Fehler führen zu einem inkonsistenten Zustand der Speicherverwaltung und können von einem Angreifer gezielt missbraucht werden, um den Speicher zu manipulieren. Im ungünstigsten Fall lässt sich dieser Defekt zu einer entfernten Codeausführung ausnutzen, bei der der Angreifer eigenen Programmcode auf dem Server zur Ausführung bringt und so die Kontrolle über den betroffenen Dienst erlangen kann. Da der Angriffsweg über die HTTP/2-Verarbeitung läuft, ist potenziell jede Installation gefährdet, die dieses Protokoll aktiviert hat und über das Netzwerk erreichbar ist.