De bug zit in een onderdeel van Windows 10 S dat alle componenten met hoge privileges controleert. "De WLDP COM Class lockdown policy bevat een hardcoded lijst van 8 tot 50 COM-objecten die gebruikt kunnen worden door verschillende scripting engines. Op zich is dat geen probleem aangezien je bestaande DLL's kan toevoegen aan het register onder een van de toegestane COM CLSIDs en 'well behaved' COM-implementaties " schrijft Google.

".NET is echter geen 'well behaved' COM-implementatie en alleen mscoree's DllGetClassObject wordt gebruikt om de registerinformatie te controleren in HKCR. Uit onze tests blijkt dat de CLSID wordt weggegooid en het .NET-object wordt gecreëerd. Dit ondermijnt de class policy en zorgt ervoor dat aanvallers registersleutels kan toevoegen (ook aan HKCU)."

Deze bug kan gelukkig niet op afstand worden misbruikt, aanvallers moeten fysieke toegang hebben tot het apparaat, maar aangezien Windows 10 regelmatig wordt gebruikt op plekken waar gebruikers weinig rechten hebben zoals op scholen, is de kans groot dat het de scholieren zelf zijn die deze bug gaan misbruiken om software te kunnen installeren die zij niet mogen installeren.

Google heeft de bug in januari gemeld aan Microsoft, maar de softwarereus had besloten de patch als onderdeel van de Spring Creators Update uit te brengen. Google wacht echter 90 dagen voordat het bugs naar buiten brengt en deze tijd is nu dus overschreden. Google heeft het eerste verzoek van Microsoft om publicatie van deze bug twee weken uit te stellen gehonoreerd, maar een tweede uitstelverzoek geweigerd omdat Microsoft niet kon vertellen wanneer de Spring Creators Update daadwerkelijk zou worden uitgerold.

Google legt hier uitgebreid uit hoe de bug in elkaar zit en kan worden misbruikt. Ook heeft de zoekgigant een Proof of concept beschikbaar.