Die Schwachstelle steckt im Firewall-Treiber Inspect.sys von Comodo Internet Security, genauer in dessen Verarbeitung von IPv6-Paketen. Beim Auswerten zieht der Treiber von der im IPv6-Header angegebenen Nutzlastlänge die Größe jedes Erweiterungs-Headers ab, ohne zu prüfen, ob das überhaupt aufgeht. Gibt ein Paket eine Nutzlastlänge an, die kleiner ist als die Summe seiner Erweiterungs-Header, rutscht dieser vorzeichenlose Wert unter null und springt auf einen nahezu maximalen Wert (Integer-Underflow). In der Folge kommt es zu einem Lesezugriff außerhalb des gültigen Speicherbereichs sowie auf einem zweiten Pfad zu einer überdimensionierten Speicherkopie – beides im Windows-Kernel. Entscheidend ist, dass die IPv6-Verarbeitung noch vor der Durchsetzung der Firewall-Regeln stattfindet: Schon ein einziges präpariertes IPv6-Paket genügt, um das System zum Absturz zu bringen (BSOD) – selbst dann, wenn alle Ports blockiert sind. Der Angriff ist aus der Ferne und ohne Anmeldung möglich.