Die Schwachstelle steckt in V8, der JavaScript-Engine des Webbrowsers Google Chrome. Ein Integer-Überlauf – also ein Rechenfehler, bei dem ein Zahlenwert den vorgesehenen Wertebereich überschreitet – führt dazu, dass die Speicherverwaltung durcheinandergerät und es zu einer Beschädigung des Heap-Speichers kommt. Ausnutzen lässt sich der Defekt aus der Ferne über eine eigens präparierte HTML-Seite: Bringt ein Angreifer das Opfer dazu, eine solche manipulierte Webseite zu öffnen, kann er die Speicherbeschädigung gezielt herbeiführen. Eine derartige Heap-Korruption ist ein klassischer Ausgangspunkt für die Ausführung von Schadcode, sodass ein Angreifer im Erfolgsfall fremden Code auf dem Rechner des Opfers ausführen könnte. Betroffen sind Nutzer des Chrome-Browsers; da das Öffnen einer Webseite als Auslöser genügt, ist der Angriffsweg über den normalen Internetgebrauch unmittelbar erreichbar.