Die Schwachstelle steckt im Windows-Kernel, dem zentralen Kern des Betriebssystems, der mit den höchsten Systemrechten arbeitet. Ursache ist, dass ein Dateiname oder Pfad von außen beeinflusst werden kann: Eine Eingabe, die eigentlich vom System fest vorgegeben sein sollte, lässt sich vom Angreifer steuern, sodass der Kernel auf einen vom Angreifer bestimmten Datei- oder Verzeichnispfad zugreift. Ausnutzen lässt sich der Fehler lokal durch einen bereits angemeldeten Angreifer – also jemanden, der schon Zugang zum System hat, wenn auch nur mit eingeschränkten Rechten. Über die manipulierte Pfad- oder Dateinamenangabe kann er seine Berechtigungen ausweiten und sich höhere Rechte auf dem System verschaffen. Eine solche lokale Rechteausweitung ist typischerweise der zweite Schritt eines Angriffs: Hat ein Angreifer erst einmal einen Fuß im System, verschafft ihm diese Lücke die vollständige Kontrolle über den betroffenen Rechner.