今回報告された脆弱性は、「Text Service Framework(TSF)」内にある「MSCTF」というモジュールに関するもの。MSCTFは、アプリケーションとカーネルの間でキーボードの入力情報やレイアウトの変更などの情報をまとめてやりとりする役割を果たしている。

　MSCTFは、Windowsにログインすると自動的にCTF monitor service(ctfmon.exe)というサービスを開始する。このサービスが実際にアプリケーションとカーネルとをつなぐのだが、認証やアクセス制限の機能が実装されておらず、攻撃が行なえるという。

実際には、ほかのウィンドウやセッションのテキストの読み書き、スレッドやプロセスIDなどの偽装、サンドボックスからのエスケープなどが行なえる。さらにUIPIをバイパスできるため、権限の昇格やUAC(ユーザーアカウント制御)ダイアログのコントロールもできるという。