Dicha vulnerabilidad consiste en un desbordamiento de buffer en la librería ntdll.dll de Windows 2000. Esta librería se emplea por distintos componentes pero, en este caso, afecta al denominado WebDAV, asociado a la versión 5 de Internet Information Server (IIS). De este modo, si se envía una determinada petición a WebDAV se produce el desbordamiento que permitiría a un atacante remoto obtener el control total sobre el sistema.

Para realizar sus acciones no necesita instalarse en el equipo ni crear o modificar fichero alguno. Sin embargo, puede ser introducido en el sistema para ser ejecutado de forma remota y poder realizar un ataque sobre un tercer ordenador. De esta forma, la identidad de la máquina desde la que se inició la agresión quedaría oculta.