Die Schwachstelle betrifft die Grafikkomponente GDI (Graphics Device Interface) von Windows, die für die Darstellung von Grafik- und Textausgaben zuständig ist. Ihr liegt ein nicht vertrauenswürdiger Suchpfad zugrunde: Die Komponente lädt benötigte Ressourcen, ohne deren Herkunft ausreichend abzusichern, sodass an einem vom Angreifer kontrollierbaren Ort eine untergeschobene Datei vorrangig geladen und ausgeführt werden kann. Auf diesem Weg kann ein Angreifer ohne entsprechende Berechtigung eigenen Code auf dem System zur Ausführung bringen. Der Angriff erfolgt lokal – der Angreifer muss also bereits Zugriff auf das betroffene System haben oder den Benutzer dazu bringen, eine präparierte Datei in einer entsprechenden Umgebung zu öffnen. Gelingt dies, kann er Code im Kontext des angegriffenen Vorgangs ausführen und so die Kontrolle über betroffene Abläufe erlangen.