Die Schwachstelle betrifft protobufjs, eine JavaScript-Bibliothek, die Protobuf-Definitionen in JavaScript-Funktionen übersetzt. Der Fehler steckt in den von protobufjs erzeugten Nachrichten-Konstruktoren: Diese kopierten die aufzählbaren Eigenschaften eines übergebenen Eigenschaftsobjekts, ohne dabei den speziellen Schlüssel proto herauszufiltern. Erzeugt eine Anwendung eine Nachricht aus einem einfachen Objekt, dessen Inhalt ein Angreifer kontrollieren kann, so lässt sich über eine eigene aufzählbare proto-Eigenschaft der Prototyp dieser einzelnen Nachrichteninstanz manipulieren. Es handelt sich also um eine Form der Prototyp-Verunreinigung (Prototype Pollution): Der Angreifer kann die zugrunde liegende Objektstruktur verändern und so unerwartetes Verhalten der Anwendung hervorrufen. Betroffen sind Anwendungen, die Nachrichten aus nicht vertrauenswürdigen, von außen beeinflussbaren Datenobjekten konstruieren.