Die Schwachstelle steckt in der WebGPU-Komponente von Google Chrome – jener Schnittstelle, über die Webseiten die Grafikhardware des Rechners für aufwendige Berechnungen und Darstellungen nutzen können. Es handelt sich um einen Use-after-free-Fehler: Der Browser greift auf einen Speicherbereich zu, der zuvor bereits freigegeben wurde. Diesen Zustand kann ein Angreifer gezielt herbeiführen und den freigewordenen Speicher mit eigenen Daten belegen. Ausgelöst wird der Fehler aus der Ferne, indem das Opfer dazu gebracht wird, eine eigens präparierte HTML-Seite zu öffnen; eine weitergehende Interaktion ist nicht nötig. Gelingt der Angriff, kann beliebiger Schadcode ausgeführt werden – allerdings innerhalb der Sandbox des Browsers, also zunächst in der vom übrigen System abgeschotteten Ausführungsumgebung. Betroffen sind Nutzer des Chrome-Browsers; angreifbar ist jeder, der auf eine manipulierte Webseite gelockt wird.