Der Defekt steckt in der Routine, die jedes RPCSEC_GSS-Datenpaket anhand einer Signatur prüft. Diese Routine kopiert einen Teil des Pakets in einen Puffer auf dem Stack, ohne vorher zu kontrollieren, ob der Puffer dafür groß genug ist. Dadurch kann ein bösartiger Client einen Stapelüberlauf (Stack Overflow) auslösen – und zwar, ohne sich zuvor authentifizieren zu müssen. Über diesen Überlauf lässt sich Code einschleusen und ausführen. Im Kernel ist die RPCSEC_GSS-Implementierung des Moduls kgssapi.ko betroffen: Solange dieses Modul geladen ist, kann ein angemeldeter Nutzer, der Pakete an den NFS-Server des Kernels senden kann, Code mit Kernel-Rechten und damit auf höchster Systemebene ausführen. Im Userspace sind Anwendungen gefährdet, die librpcgss_sec eingebunden haben und einen RPC-Server betreiben; hier kann jeder Client, der Pakete senden kann, aus der Ferne Code ausführen. Besonders kritisch ist, dass der Angriff keine vorherige Anmeldung erfordert.