Die Schwachstelle steckt in der Prerender-Komponente von Google Chrome – jener Funktion, mit der der Browser Seiten im Voraus lädt und aufbereitet, bevor der Nutzer sie tatsächlich aufruft. Es handelt sich um einen Use-after-free-Fehler: Der Browser greift auf einen Speicherbereich zu, der zuvor bereits freigegeben wurde. Solche Zugriffe auf nicht mehr gültigen Speicher lassen sich gezielt manipulieren. Ausgelöst wird der Fehler über eine eigens präparierte HTML-Seite. Ein Angreifer muss das Opfer also lediglich dazu bringen, eine entsprechend gestaltete Webseite zu öffnen; eine Anmeldung oder weitergehende Berechtigungen sind nicht erforderlich. Gelingt die Ausnutzung, kann der Angreifer aus der Ferne beliebigen Code im Kontext des Browsers ausführen und so die Kontrolle über die betroffene Anwendung übernehmen. Betroffen sind Nutzer des Chrome-Browsers; da der Angriff allein durch den Besuch einer Webseite funktioniert, ist die Einstiegshürde gering.