Die Schwachstelle liegt im Windows-Kernelspeicher, also im zentralen Speicherbereich des Betriebssystem-Kerns, der den Hardwarezugriff und die laufenden Prozesse verwaltet. Es handelt sich um ein sogenanntes Buffer over-read: Beim Verarbeiten von Daten liest die Software über die Grenze eines Speicherbereichs hinaus und greift dabei auf angrenzende Speicherinhalte zu, die eigentlich nicht für die Ausgabe vorgesehen sind. Dadurch können Informationen offengelegt werden, die normalerweise geschützt bleiben – etwa Inhalte aus dem Kernelspeicher, die Rückschlüsse auf interne Abläufe oder sensible Daten erlauben. Ausnutzen lässt sich der Fehler nur lokal und setzt voraus, dass der Angreifer bereits über gültige Zugangsdaten beziehungsweise einen angemeldeten Zugang auf dem System verfügt. Er kann den Defekt also nicht aus der Ferne, sondern erst nach erfolgtem Zugriff auslösen, um an Informationen zu gelangen, die ihm sonst verborgen blieben.