Die Schwachstelle betrifft die Netzwerk-Verarbeitung von Datenpaketen im Linux-Kernel, konkret die Funktion zum Zusammenführen (Coalescing) von Paketpuffern (socket buffers). Werden beim Empfang von TCP-Daten mehrere Pufferbereiche zusammengeführt, können dabei sogenannte geteilte Speicherfragmente (shared frags) übertragen werden – also Seiten, die nicht ausschließlich diesem Puffer gehören, sondern extern verwaltet oder vom Seiten-Cache gestützt sind. Beim Zusammenführen ging die Markierung verloren, die solche geteilten Fragmente kennzeichnet. Dadurch konnte ein nachgelagerter Verarbeitungsschritt, der eigentlich anhand dieser Markierung entscheidet, ob er Daten direkt im Speicher überschreiben darf, fälschlich annehmen, der Puffer enthalte keine geteilten Fragmente. In der Folge konnte etwa die ESP-Eingangsverarbeitung beim Entschlüsseln direkt über vom Seiten-Cache gestützte, gemeinsam genutzte Speicherseiten schreiben und so fremden Speicher unzulässig verändern. Behoben wird das, indem die Markierung für geteilte Fragmente beim Zusammenführen korrekt mitübertragen wird.