Die Schwachstelle steckt in der Grafikbibliothek libpng, die Programme zum Lesen, Erzeugen und Bearbeiten von PNG-Bilddateien einbinden. Betroffen ist der für ARM- und AArch64-Prozessoren mit Neon optimierte Codepfad, der palettenbasierte Bilder entpackt – also 8-Bit-Zeilen mit Farbpalette in volle RGB- oder RGBA-Pixel umwandelt. Die Neon-Schleife verarbeitet den letzten, unvollständigen Block einer Bildzeile, ohne zu prüfen, ob noch genügend Eingabepixel vorhanden sind. Da die Verarbeitung vom Zeilenende rückwärts läuft, greift der letzte Schleifendurchlauf auf Speicher vor dem Anfang des Zeilenpuffers zu: Er liest dort Daten aus (Out-of-Bounds-Lesen) und schreibt die entpackten Pixeldaten an dieselben außerhalb liegenden Positionen (Out-of-Bounds-Schreiben). Auslösen lässt sich der Fehler bereits durch das normale Dekodieren einer vom Angreifer präparierten PNG-Datei, sofern Neon aktiviert ist. Da libpng in unzähligen Anwendungen steckt, die Bilder anzeigen oder verarbeiten, ist die Angriffsfläche entsprechend breit.