Die Schwachstelle betrifft protobufjs, eine JavaScript-Bibliothek, die Protobuf-Definitionen in JavaScript-Funktionen übersetzt und daraus Funktionen zum Kodieren und Dekodieren von Daten erzeugt. Intern verwendete protobufjs für die Nachschlagetabellen, mit denen diese generierten Funktionen die zugehörigen Protobuf-Typinformationen ermitteln, einfache Objekte mit geerbten Prototypen. Wurde der gemeinsame Basis-Prototyp (Object.prototype) zuvor durch sogenannte Prototype Pollution manipuliert, konnten die Nachschlagetabellen geerbte, vom Angreifer kontrollierte Eigenschaften fälschlich als gültige Typinformation auflösen. Dadurch konnten vom Angreifer bestimmte Zeichenketten in den erzeugten JavaScript-Code eingeschleust werden. Im Ergebnis fließt fremder, manipulierter Inhalt in den generierten Code ein, was das Verhalten der erzeugten Verarbeitungsfunktionen verfälscht. Betroffen sind Anwendungen, die protobufjs einsetzen und in deren Laufzeitumgebung der Prototyp bereits verunreinigt werden konnte.