Die Schwachstelle steckt in Microsoft Office Excel und beruht auf einer unzureichenden Bereinigung von Eingaben bei der Erzeugung von Webseiteninhalten – einer klassischen Cross-Site-Scripting-Schwäche (XSS). Dabei werden vom Angreifer kontrollierte Eingaben nicht ausreichend neutralisiert, sondern fließen ungeprüft in die generierte Ausgabe ein, sodass eingeschleuster Skriptcode im Kontext der Anwendung zur Geltung kommt. Ausnutzen lässt sich der Defekt über das Netzwerk und durch einen Angreifer ohne entsprechende Berechtigung. Das Ziel des Angriffs ist hier nicht die Manipulation oder Übernahme des Systems, sondern das unbefugte Auslesen von Informationen: Über den eingeschleusten Code kann der Angreifer Daten abgreifen, die dem betroffenen Benutzer im Anwendungskontext zugänglich sind. Betroffen sind Anwender der Tabellenkalkulation Excel innerhalb der Microsoft-Office-Familie. Da der Angriff aus der Ferne und ohne Vorab-Anmeldung möglich ist, genügt im Zweifel das Verarbeiten oder Anzeigen entsprechend präparierter Inhalte.