Die Schwachstelle steckt im Ancillary Function Driver für WinSock (afd.sys), einem Treiber von Windows, der die Netzwerk- und Socket-Funktionen über die WinSock-Schnittstelle bereitstellt. Es handelt sich um eine Nullzeiger-Dereferenzierung: Der Treiber greift unter bestimmten Bedingungen auf einen Zeiger zu, der ins Leere verweist. Ein bereits am System angemeldeter Angreifer kann diesen Fehler gezielt auslösen und seine Rechte lokal ausweiten. Voraussetzung ist also ein vorhandener Zugang zum System – aus der Ferne allein lässt sich die Lücke nicht ausnutzen. Gelingt der Angriff, verschafft sich der Angreifer höhere Berechtigungen, als ihm eigentlich zustehen, und kann so die Kontrolle über das betroffene System ausbauen. Da der Treiber tief im Betriebssystemkern verankert ist, eignet sich ein solcher Defekt typischerweise dazu, von einem eingeschränkten Benutzerkonto aus auf System- bzw. Kernel-Ebene zu gelangen.