Die Schwachstelle steckt in der WebGL-Komponente von Google Chrome – jener Schnittstelle, über die der Browser 3D-Grafik direkt auf der Grafikhardware darstellt. Es handelt sich um einen Heap-Pufferüberlauf: Bei der Verarbeitung speziell präparierter Inhalte greift der Browser auf Speicherbereiche außerhalb des dafür vorgesehenen Puffers zu und liest Daten von dort. Ausnutzen lässt sich der Fehler aus der Ferne, indem ein Angreifer eine manipulierte HTML-Seite bereitstellt; ruft das Opfer diese Seite auf, wird der fehlerhafte Lesezugriff ausgelöst. Über diesen Weg kann der Angreifer Speicherinhalte einsehen, die ihm eigentlich nicht zugänglich sein sollten – etwa interne Daten des Browserprozesses, die zur Umgehung von Schutzmechanismen oder zur Vorbereitung weiterer Angriffe dienen können. Betroffen ist jeder Nutzer, der mit dem Browser eine entsprechend gestaltete Webseite öffnet.