Die Schwachstelle steckt in V8, der JavaScript-Engine von Google Chrome, die den Programmcode von Webseiten ausführt. Es handelt sich um einen Fehler bei der Speicherverwaltung: V8 liest und schreibt außerhalb der eigentlich vorgesehenen Speichergrenzen (Out-of-bounds-Read und -Write). Ausgelöst wird der Defekt durch eine speziell präparierte HTML-Seite. Ein Angreifer kann den Fehler also aus der Ferne ausnutzen, indem er sein Opfer dazu bringt, eine entsprechend manipulierte Webseite zu öffnen – eine gültige Anmeldung oder weitere Interaktion ist darüber hinaus nicht nötig. Gelingt der Angriff, kann beliebiger Code ausgeführt werden, allerdings innerhalb der Sandbox von V8: Diese Schutzschicht soll Schadcode vom übrigen System abschotten. Betroffen ist der weit verbreitete Browser selbst, womit potenziell eine sehr große Zahl von Endgeräten und Nutzern dem Angriffsweg ausgesetzt ist.