Die Schwachstelle steckt im Linux-Kernel, genauer in der Verarbeitung von ESP-Paketen durch das xfrm-Subsystem, das für die IPsec-Verschlüsselung zuständig ist. Beim Anhängen von Daten über die Splice-Pfade für IPv4- und IPv6-Datagramme wurden Speicherseiten, die direkt aus einer Pipe an ein Netzwerkpaket angehängt werden, nicht als geteilt markiert. Dadurch erschien ein ESP-in-UDP-Paket, das aus solchen geteilten Pipe-Seiten gebildet wurde, wie ein gewöhnliches, ausschließlich vom Paket selbst verwaltetes Paket. Die ESP-Eingangsverarbeitung wählte daraufhin den schnellen Pfad ohne Anlegen einer privaten Kopie und entschlüsselte die Daten direkt an Ort und Stelle – also über Speicher, der nicht exklusiv dem Paket gehört. Auf diese Weise konnte die Entschlüsselung extern hinterlegte Speicherbereiche überschreiben, die noch anderweitig genutzt werden. Behoben wird das Problem, indem die betroffenen Speicherseiten als geteilt gekennzeichnet werden und die ESP-Eingangsverarbeitung in diesem Fall eine private Kopie anlegt, statt direkt zu entschlüsseln.