Die Schwachstelle steckt in Blink, der Rendering-Engine von Google Chrome, die für die Darstellung von Webseiten zuständig ist. Ursache ist ein Ganzzahlüberlauf: Bei einer bestimmten Berechnung überschreitet ein Zahlenwert den zulässigen Bereich und kippt um, wodurch intern falsche Größen verwendet werden. In der Folge kann es zu einer Beschädigung des Heap-Speichers kommen – also jenes Speicherbereichs, in dem das Programm zur Laufzeit Daten ablegt. Ausnutzen lässt sich der Defekt aus der Ferne über eine eigens präparierte HTML-Seite: Ruft das Opfer eine vom Angreifer kontrollierte Webseite auf, wird der fehlerhafte Verarbeitungspfad ausgelöst. Eine solche Speicherbeschädigung lässt sich häufig dazu missbrauchen, den Programmablauf zu manipulieren und im schlimmsten Fall eigenen Code auszuführen. Betroffen sind Anwender des Chrome-Browsers, da der Angriff allein durch den Besuch einer manipulierten Seite erfolgen kann.