Die Schwachstelle steckt in der Komponente PrivateAI des Webbrowsers Google Chrome. Es handelt sich um einen Use-after-free-Fehler: Das Programm greift auf einen Speicherbereich zu, der bereits freigegeben wurde. Ein solcher Zustand lässt sich gezielt manipulieren und kann zur Ausführung von eingeschleustem Code führen. Ausnutzen lässt sich der Defekt aus der Ferne über eine präparierte HTML-Seite. Voraussetzung ist allerdings eine Mitwirkung des Opfers: Der Angreifer muss den Nutzer dazu bringen, bestimmte Bedienschritte in der Oberfläche auszuführen. Gelingt das, kann der Angreifer aus der Sandbox des Browsers ausbrechen – also aus der Schutzumgebung, die Webinhalte normalerweise vom restlichen System abschottet. Ein erfolgreicher Sandbox-Ausbruch hebt eine zentrale Sicherheitsbarriere des Browsers auf und kann dem Angreifer weitergehenden Zugriff auf das System des Opfers verschaffen. Betroffen sind Nutzer des Browsers, die eine entsprechend manipulierte Webseite öffnen.