Die Schwachstelle steckt in PackageKit, einer D-Bus-basierten Abstraktionsschicht, über die Programme auf verschiedenen Linux-Distributionen Softwarepakete verwalten können. Es handelt sich um eine Wettlaufsituation zwischen Prüfung und Verwendung (TOCTOU) bei den sogenannten Transaktions-Flags. Im Kern überschreibt die Funktion zum Installieren von Paketdateien die zwischengespeicherten Flags mit den vom Aufrufer gelieferten Werten, ohne zu prüfen, ob die Transaktion bereits autorisiert und gestartet wurde – ein zweiter Aufruf kann die Flags also selbst dann noch verändern, wenn die Verarbeitung schon läuft. Eine fehlerhafte Zustandsverwaltung verwirft zwar unzulässige Rückwärtsschritte stillschweigend, lässt die bereits manipulierten Flags aber bestehen. Da der Planer diese Flags erst zum Ausführungszeitpunkt ausliest, sieht der Backend-Dienst die untergeschobenen Werte. Dadurch kann ein lokaler, nicht privilegierter Benutzer ohne jede Authentifizierung beliebige RPM-Pakete als root installieren – samt Ausführung der enthaltenen Skripte – und sich so volle Systemrechte verschaffen.