Die Schwachstelle betrifft den DHCP-Client von Windows – jene Komponente, über die ein Rechner beim Start oder beim Verbinden mit einem Netzwerk automatisch seine Netzwerkkonfiguration (etwa die IP-Adresse) von einem DHCP-Server bezieht. In dieser Komponente besteht ein stapelbasierter Pufferüberlauf (Stack-based Buffer Overflow): Beim Verarbeiten eingehender DHCP-Daten werden mehr Daten in einen reservierten Speicherbereich auf dem Stack geschrieben, als dieser fassen kann, wodurch angrenzender Speicher überschrieben wird. Ein Angreifer kann diesen Defekt über das Netzwerk auslösen und dadurch eigenen Code auf dem betroffenen System ausführen, ohne dafür vorab berechtigt zu sein. Da der DHCP-Client beim Netzwerkbeitritt automatisch auf Serverantworten reagiert, lässt sich der Angriff über manipulierte DHCP-Antworten im selben Netzwerk anstoßen und betrifft damit grundsätzlich jedes Windows-System, das auf diese Weise eine Netzwerkkonfiguration bezieht.