Die Schwachstelle steckt in der Schriftarten-Verarbeitung (Fonts) des Webbrowsers Google Chrome. Ihr liegt ein Ganzzahlüberlauf zugrunde: Bei der Verarbeitung bestimmter Werte rechnet der Code mit einem Zahlenbereich, der intern überläuft, sodass eine falsche, zu kleine Größe zustande kommt. In der Folge schreibt der Browser Daten über die Grenzen des dafür vorgesehenen Speicherbereichs hinaus (Out-of-bounds-Schreibzugriff). Auslösen lässt sich der Fehler aus der Ferne über eine eigens präparierte HTML-Seite: Es genügt, dass das Opfer eine vom Angreifer kontrollierte Webseite öffnet. Durch das gezielte Überschreiben von Speicher kann ein Angreifer den Programmablauf manipulieren und im schlimmsten Fall eigenen Code im Kontext des Browsers ausführen. Betroffen ist jeder Nutzer, der mit einer verwundbaren Chrome-Version eine entsprechend gestaltete Seite aufruft – ein klassischer Angriffsweg, der ohne weiteres Zutun des Opfers außer dem Seitenbesuch funktioniert.