Die Schwachstelle betrifft den SMB-Server von Windows, also die Komponente, über die Windows-Systeme Datei- und Druckerfreigaben im Netzwerk bereitstellen. Ursache ist eine fehlerhafte Authentifizierung: Die Prüfung der Identität greift nicht zuverlässig, sodass ein bereits am System angemeldeter Angreifer diese Lücke nutzen kann, um seine Rechte lokal auszuweiten. Voraussetzung ist also ein vorhandener, regulärer Zugang zum betroffenen Rechner; aus diesem eingeschränkten Kontext heraus verschafft sich der Angreifer höhere Berechtigungen, als ihm eigentlich zustehen. Damit lässt sich der Defekt typischerweise als zweiter Schritt eines Angriffs einsetzen – etwa nachdem auf anderem Weg ein einfacher Benutzerzugang erlangt wurde –, um anschließend weitreichendere Kontrolle über das System zu gewinnen.