Die Schwachstelle betrifft den MariaDB-Datenbankserver, eine von der Community entwickelte Abspaltung des MySQL-Servers. Sie steckt in der Funktion JSON_SCHEMA_VALID(), die JSON-Daten gegen ein Schema prüft. Ein Fehler in dieser Funktion lässt sich von einem bereits angemeldeten Benutzer ausnutzen: Durch entsprechend präparierte Eingaben kann er den Datenbankserver zum Absturz bringen und damit dessen Verfügbarkeit stören. Unter bestimmten Bedingungen lässt sich der Absturz darüber hinaus in das Ausführen von eingeschleustem Code umwandeln. Das setzt allerdings eine sehr genaue Kontrolle über die Speicheranordnung voraus, wie sie sich in der Praxis im Wesentlichen nur unter Laborbedingungen erreichen lässt – der realistische Hauptschaden ist daher der herbeigeführte Dienstausfall. Voraussetzung für den Angriff ist ein gültiger Datenbankzugang; die Lücke ist also nicht ohne Authentifizierung ausnutzbar, kann aber von jedem berechtigten Konto aus ausgelöst werden.