Die Schwachstelle betrifft den Webbrowser Google Chrome, genauer dessen WebRTC-Komponente – die Technik, über die der Browser Echtzeitkommunikation wie Audio-, Video- und Datenverbindungen direkt zwischen Teilnehmern abwickelt. Zugrunde liegt ein Use-after-free-Fehler: Der Browser greift auf einen Speicherbereich zu, der zuvor bereits freigegeben wurde. Solche Speicherfehler lassen sich gezielt manipulieren, um den Programmablauf zu unterwandern. Ausgelöst wird die Lücke aus der Ferne über eine eigens präparierte HTML-Seite: Ruft das Opfer eine vom Angreifer kontrollierte Webseite auf, kann dieser den Fehler in der WebRTC-Verarbeitung auslösen und beliebigen Code ausführen. Die Codeausführung bleibt dabei zunächst auf die Sandbox des Browsers beschränkt – jenen abgeschotteten Bereich, der die Auswirkungen vom übrigen System trennt. Betroffen sind Nutzer, die mit dem Browser eine manipulierte Seite öffnen; eine Anmeldung oder weitergehende Interaktion ist nicht erforderlich.