Die Schwachstelle ist ein Heap-basierter Pufferüberlauf in Microsoft Defender, der Schutzsoftware von Microsoft. Bei einem solchen Fehler schreibt das Programm mehr Daten in einen reservierten Speicherbereich des Heaps, als dieser fassen kann, sodass angrenzende Speicherinhalte überschrieben werden. Ein Angreifer kann diesen Überlauf gezielt herbeiführen, um den Programmablauf zu manipulieren und eigenen Code zur Ausführung zu bringen. Der Angriff lässt sich über das Netzwerk und ohne vorherige Authentifizierung durchführen – der Angreifer benötigt also keine gültigen Zugangsdaten und keinen bestehenden Zugriff auf das System. Besonders kritisch ist, dass gerade die Schutzkomponente selbst betroffen ist: Gelingt die Codeausführung, läuft der eingeschleuste Code im Kontext einer Software, die tief im System verankert ist und mit weitreichenden Rechten arbeitet. Betroffen sind Systeme, auf denen Microsoft Defender aktiv ist.