Die Schwachstelle steckt im Update-Dienst der Anwendung. Wenn dieser Dienst nach Aktualisierungen sucht, lädt er bestimmte Systembibliotheken über einen Suchpfad, der auch Verzeichnisse umfasst, in die Benutzer mit geringen Rechten schreiben dürfen – er ist also nicht strikt auf vertrauenswürdige Systemverzeichnisse beschränkt. Da die benötigten Bibliotheken so auch aus benutzerbeschreibbaren Speicherorten aufgelöst und geladen werden können, kann ein lokaler Angreifer dort eine manipulierte Bibliothek hinterlegen. Diese wird vom Update-Dienst eingelesen und mit SYSTEM-Rechten ausgeführt – also mit den höchsten Rechten des Betriebssystems. Im Ergebnis kann der Angreifer beliebigen Code einschleusen und seine Berechtigungen vom eingeschränkten Benutzerkonto bis zur vollständigen Systemkontrolle ausweiten. Vorausgesetzt ist ein lokaler Zugang zum betroffenen System; der hochprivilegierte Update-Dienst dient dabei als Hebel, um die niedrigen Ausgangsrechte zu überwinden.