Die Schwachstelle steckt in der WebGL-Komponente von Google Chrome auf Android. WebGL ist die Browser-Schnittstelle, über die Webseiten Grafik direkt auf der Grafikhardware des Geräts berechnen lassen. Hier kommt es zu einem Lesezugriff außerhalb der vorgesehenen Speichergrenzen: Beim Verarbeiten entsprechend präparierter Grafikdaten liest die Komponente Speicherbereiche aus, die eigentlich nicht für sie bestimmt sind. Ausgelöst wird der Fehler aus der Ferne allein dadurch, dass das Opfer eine vom Angreifer manipulierte HTML-Seite öffnet – eine weitergehende Interaktion ist nicht nötig. In der Folge kann ein Angreifer aus dem normalerweise streng abgeschotteten Browserprozess ausbrechen (Sandbox-Escape) und damit die Schutzschicht überwinden, die Webinhalte vom übrigen System trennen soll. Betroffen sind Android-Geräte, auf denen Google Chrome zum Surfen verwendet wird; dort genügt der Besuch einer einzigen bösartigen Webseite als Angriffsweg.