Die Schwachstelle steckt in V8, der JavaScript-Engine von Google Chrome, die den Code von Webseiten im Browser ausführt. Es handelt sich um einen Use-after-free-Fehler: Der Browser greift auf einen Speicherbereich zu, der zuvor bereits freigegeben wurde. Ein Angreifer kann diesen Zustand gezielt herbeiführen und den freigewordenen Speicher mit eigenen Daten belegen, um die weitere Programmausführung zu manipulieren. Ausnutzen lässt sich der Fehler aus der Ferne: Es genügt, das Opfer auf eine präparierte HTML-Seite zu locken. Allein das Aufrufen einer solchen Seite reicht aus, um die Schwachstelle auszulösen – eine weitergehende Interaktion ist nicht nötig. Im Erfolgsfall kann der Angreifer beliebigen Code ausführen. Diese Ausführung bleibt zunächst auf die Sandbox von V8 beschränkt, also den abgeschotteten Bereich, in dem der Browser nicht vertrauenswürdigen Code isoliert. Betroffen sind Nutzer des Chrome-Browsers, die manipulierte Webinhalte öffnen.