Die Schwachstelle steckt in Microsoft Office Word und beruht auf der Dereferenzierung eines nicht vertrauenswürdigen Zeigers (Untrusted Pointer Dereference). Dabei verarbeitet die Anwendung einen Speicherzeiger, dessen Wert ein Angreifer beeinflussen kann, und greift auf eine dadurch kontrollierte Speicheradresse zu. Auf diese Weise lässt sich der Programmablauf manipulieren, sodass eingeschleuster Code ausgeführt wird. Der Angriff erfolgt lokal: Typischerweise muss das Opfer dazu gebracht werden, eine speziell präparierte Word-Datei zu öffnen. Gelingt dies, kann der Angreifer auf dem betroffenen System eigenen Code im Kontext des Benutzers ausführen und so die Kontrolle über die laufende Sitzung übernehmen. Betroffen sind Arbeitsplätze, auf denen Dokumente mit Word geöffnet werden – also ein klassischer Angriffsweg über manipulierte Office-Dateien aus E-Mail-Anhängen oder Downloads.