Die Schwachstelle steckt in der TCP/IP-Komponente von Windows – also in dem Teil des Betriebssystems, der die Netzwerkkommunikation abwickelt. Ursache ist eine Race Condition: Mehrere Abläufe greifen nebenläufig auf eine gemeinsam genutzte Ressource zu, ohne dass diese Zugriffe korrekt synchronisiert werden. Trifft ein Angreifer das schmale Zeitfenster, in dem dieser ungeschützte gemeinsame Zugriff stattfindet, lässt sich der Fehler ausnutzen. Da der Defekt in der Netzwerk-Verarbeitung sitzt, ist er über das Netzwerk erreichbar: Ein unautorisierter Angreifer kann ihn aus der Ferne auslösen und auf dem betroffenen System eigenen Code zur Ausführung bringen. Damit kann er das System unter seine Kontrolle bringen. Betroffen ist die TCP/IP-Implementierung von Windows, die auf nahezu jedem Windows-System aktiv ist und Netzwerkpakete entgegennimmt.