Die Schwachstelle steckt im Windows-Kernel, dem zentralen Kern des Betriebssystems, der mit den höchsten Systemrechten arbeitet. Es handelt sich um einen Use-after-free-Fehler: Eine Speicherstelle wird weiterverwendet, nachdem sie bereits freigegeben wurde. Über diesen Defekt in der Speicherverwaltung kann ein Angreifer den Programmablauf im Kernel beeinflussen und sich höhere Rechte verschaffen. Voraussetzung ist, dass der Angreifer bereits über ein gültiges Konto auf dem System verfügt und Code lokal ausführen kann – ausnutzbar ist die Lücke also nicht aus der Ferne, sondern setzt einen vorhandenen, eingeschränkten Zugang voraus. Gelingt der Angriff, steigert der Angreifer seine Berechtigungen bis auf die Ebene des Kernels und erlangt damit weitreichende Kontrolle über das betroffene System. Solche Rechteausweitungen werden typischerweise als zweiter Schritt nach einem ersten Einbruch genutzt, um aus einem normalen Benutzerkonto vollständige Systemrechte zu machen.