Die Schwachstelle steckt in HTTP.sys, dem Treiber von Windows, der eingehende HTTP-Anfragen auf Kernel-Ebene verarbeitet. Zugrunde liegt ein Ganzzahlüberlauf: Bei der Verarbeitung bestimmter Werte rechnet die Komponente über den darstellbaren Zahlenbereich hinaus, sodass das Ergebnis „umklappt" und unerwartet kleine oder falsche Werte entstehen. Diese Fehlberechnung lässt sich ausnutzen, um den Programmablauf zu manipulieren. Ein Angreifer kann die Lücke aus der Ferne über das Netzwerk ansprechen und benötigt dafür keine vorherige Anmeldung oder Berechtigung. Im Erfolgsfall führt er eigenen Code auf dem betroffenen System aus. Da HTTP.sys auf Kernel-Ebene arbeitet und häufig direkt aus dem Netz erreichbare Dienste bedient, ist die Komponente ein besonders exponierter Angriffspunkt – betroffen sind Windows-Systeme, die über diesen Treiber HTTP-Verkehr annehmen.