Die Schwachstelle ist ein Use-after-free-Fehler in der Canvas-Komponente von Google Chrome, also jener Funktion, mit der Webseiten Grafiken zeichnen und darstellen. Bei einem solchen Fehler greift das Programm noch auf einen Speicherbereich zu, der bereits freigegeben wurde – ein Zustand, den ein Angreifer gezielt manipulieren kann. Ausgelöst wird der Defekt durch eine eigens präparierte HTML-Seite: Ruft das Opfer eine solche Seite auf, kann ein entfernter Angreifer beliebigen Programmcode ausführen. Die Codeausführung findet dabei innerhalb der Sandbox statt, also in der abgeschotteten Umgebung, mit der der Browser einzelne Webinhalte vom restlichen System trennt. Betroffen sind die Chrome-Versionen für Linux und ChromeOS. Da lediglich der Besuch einer manipulierten Webseite genügt und keine weitere Nutzeraktion nötig ist, eignet sich die Lücke gut für breit gestreute Angriffe über kompromittierte oder bösartige Webseiten.