Die Schwachstelle betrifft Windows Hello, die Anmeldefunktion von Windows, über die sich Benutzer etwa per Gesichtserkennung, Fingerabdruck oder PIN am Gerät anmelden. Ursache ist eine unzureichende Prüfung von Eingabedaten: Windows Hello validiert bestimmte Eingaben nicht sorgfältig genug. Ein Angreifer, der bereits über gültige Zugangsrechte auf dem System verfügt, kann diese Lücke ausnutzen, um eine Sicherheitsfunktion zu umgehen, die ihn eigentlich aufhalten soll. Der Angriff setzt lokalen Zugriff auf das betroffene Gerät voraus – er lässt sich nicht aus der Ferne über das Netzwerk durchführen. Im Ergebnis kann eine vorgesehene Schutzmaßnahme ausgehebelt werden, sodass der Angreifer Beschränkungen überwindet, die ohne die Lücke greifen würden.