Die Schwachstelle betrifft Winlogon, eine Systemkomponente von Windows, die für die Benutzeranmeldung zuständig ist. Der Fehler liegt darin, dass die Komponente Verknüpfungen (Links) auflöst, bevor sie auf eine Datei zugreift, ohne das Ziel der Verknüpfung ausreichend zu prüfen. Bei diesem als „Link Following" bekannten Defekt lässt sich ein solcher Verweis so manipulieren, dass ein Zugriff auf eine andere Datei umgeleitet wird, als eigentlich vorgesehen. Ausnutzen kann das ein lokaler Angreifer, der bereits über ein gültiges Benutzerkonto auf dem System verfügt – ein Fernzugriff ist nicht möglich. Gelingt der Angriff, verschafft sich der Angreifer höhere Berechtigungen auf dem System, als ihm zustehen, und kann so die Grenzen seines Benutzerkontos überwinden. Solche lokalen Rechteausweitungen sind besonders dann brisant, wenn ein Angreifer bereits eingeschränkten Zugang erlangt hat und diesen zu weitreichender Kontrolle ausbauen will.