Die Schwachstelle liegt in der Windows-Komponente für Barrierefreiheit (Accessibility Infrastructure), konkret im Dienst ATBroker.exe, der unterstützende Technologien wie Bildschirmleser oder die Bildschirmlupe verwaltet. Ursache ist eine fehlerhafte Vergabe von Berechtigungen für eine sicherheitskritische Ressource: Die zugehörigen Zugriffsrechte sind so gesetzt, dass auch ein Konto mit eingeschränkten Rechten darauf einwirken kann. Ausnutzen lässt sich der Fehler nur lokal und setzt voraus, dass der Angreifer bereits über ein gültiges, wenn auch unprivilegiertes Benutzerkonto auf dem System verfügt. Von dieser Ausgangslage aus kann er seine Rechte ausweiten und sich höhere Systemprivilegien verschaffen, als ihm eigentlich zustehen. Damit eignet sich die Lücke typischerweise als zweiter Schritt nach einem ersten Zugang – etwa nach Phishing oder gekaperten Zugangsdaten –, um die Kontrolle über das betroffene Windows-System auszubauen.