Уязвимость операционной системы Windows существует в реализации системных вызовов URLDownloadA, URLDownloadW, URLDownloadToCacheFileA, URLDownloadToCacheFileW, URLDownloadToFileA, URLDownloadToFileW, URLOpenStream, URLOpenBlockingStream, при выполнении которых операционной системой инициируется подключение к SMB-серверу от имени пользователя, запустившего программу, использующую указанные системные вызовы. Подключение к SMB-серверу осуществляется в случае, если системному вызову передан параметр вида «file://<IP-адрес SMB-сервера>/». Злоумышленник при помощи специально сформированного ответа на http-запрос (или за счёт подмены http-запроса) может инициировать процедуру авторизации пользователя на ложном SMB-сервере, в ходе которой SMB-серверу будут переданы зашифрованные пароль и имя пользователя