Die Schwachstelle liegt in V8, der JavaScript-Engine des Webbrowsers Google Chrome. Es handelt sich um eine Typenverwechslung (Type Confusion): Die Engine behandelt ein Objekt im Speicher als einen anderen Datentyp, als es tatsächlich ist. Dadurch werden Speicherbereiche falsch interpretiert, was einem Angreifer eine kontrollierte Manipulation des Programmablaufs ermöglicht. Ausgelöst wird der Fehler über eine eigens präparierte HTML-Seite: Besucht das Opfer eine solche Seite, verarbeitet V8 den darin enthaltenen Schadcode und gerät in den fehlerhaften Zustand. Im Ergebnis kann ein entfernter Angreifer beliebigen Code ausführen – allerdings innerhalb der Sandbox des Browsers, die die Ausführung zunächst vom restlichen System abschottet. Betroffen sind Nutzer des Browsers, die zum Aufruf einer vom Angreifer kontrollierten Webseite verleitet werden; eine direkte Interaktion über das bloße Laden der Seite hinaus ist nicht erforderlich.