Die Schwachstelle steckt in der EAP-TTLS-Verarbeitung von strongSwan, einer verbreiteten Open-Source-Software für IPsec-VPN-Verbindungen. Betroffen ist der Parser, der die sogenannten AVP-Datenfelder (Attribute-Value Pairs) auswertet, die während der IKEv2-Authentifizierung ausgetauscht werden. Bevor der Parser ein Längenfeld weiterverarbeitet, prüft er dessen Gültigkeit nicht – bei einer anschließenden Subtraktion kommt es dadurch zu einem Ganzzahl-Unterlauf, bei dem ein zu kleiner Wert in eine riesige Zahl umschlägt. Ein Angreifer kann diesen Fehler aus der Ferne und ohne vorherige Anmeldung auslösen, indem er manipulierte AVP-Daten mit ungültigen Längenangaben sendet. In der Folge versucht die Software, übermäßig viel Speicher zu reservieren, oder greift auf einen Null-Zeiger zu. Beides bringt den charon-IKE-Dienst zum Absturz, sodass der VPN-Dienst ausfällt – ein klassischer Denial-of-Service. Da der IKE-Dienst typischerweise aus dem Internet erreichbar ist, ist dieser Angriffspunkt besonders exponiert.