Die Schwachstelle steckt im Verarbeitungsmodul für NTFS-Abbilder des Archivierungsprogramms 7-Zip. Beim Öffnen oder Prüfen eines manipulierten NTFS-Abbilds berechnet das Programm die Größe des Puffers für einen komprimierten Datenstrom fehlerhaft: Durch präparierte Werte für Cluster-Größe und Kompressionseinheit entsteht eine ungültige Bitverschiebung, die dazu führt, dass der Eingabepuffer viel zu klein – effektiv nur ein einziges Byte – angelegt wird. Anschließend schreibt 7-Zip große Mengen vom Angreifer kontrollierter Daten in diesen winzigen Puffer und überschreibt damit benachbarte Speicherbereiche (Heap-Pufferüberlauf). Dabei wird unter anderem der Verweis auf eine interne Funktionstabelle überschrieben, sodass der nächste Funktionsaufruf umgelenkt werden kann. So lässt sich im günstigsten Fall für den Angreifer beliebiger Code ausführen, andernfalls stürzt das Programm ab. Das NTFS-Modul ist standardmäßig aktiv und erkennt solche Abbilder anhand einer Signatur unabhängig von der Dateiendung – schon das bloße Entpacken oder Testen einer präparierten Datei genügt zur Auslösung.