Bei den bislang beobachteten Attacken handelte es sich um sogenannte Sandbox-Escape-Angriffe. Die Sandbox ist dabei eine abgeschlossene Umgebung innerhalb des Browsers, in der Code ausgeführt werden kann, ohne weiteren Zugriff auf andere Bereiche des Rechners zu erhalten. So sollen Infektionen mit Schadcode aus dem Netz verhindert werden. Die Sicherheitslücke in Chrome ermöglichte es Angreifern nun, ihren Schadcode in der Sandbox des Browsers auszuführen, während der Zero Day in Windows ein Überspringen auf das gesamte Betriebssystem erlaubte. Laut Googles Bericht handelt es sich um einen Fehler im Windows-Kernel, der ausgenutzt werden kann, um den Code eines Angreifers mit zusätzlichen Berechtigungen auszustatten.
Betroffen sind laut Project Zero alle Windows-Rechner seit Windows 7, inklusive der aktuellsten Version von Windows 10. Auch einen Proof of Concept Code, also einen Beweis für ihre Behauptungen, lieferten die Sicherheitsforscher, jedoch ohne konkrete Hinweise darauf, wer die neue Schwachstelle derzeit ausnutzt. Bestätigt wurde Project Zero darüber hinaus von einer anderen Einheit von Googles Sicherheitsforschern, der Threat Analysis Group (TAG). Ein Zusammenhang mit der bevorstehenden US-Wahl konnte nicht festgestellt werden.
Eher ungewöhnlich ist jedoch die Tatsache, dass die Sicherheitslücke veröffentlicht wurde, bevor ein Patch herausgegeben wurde. Normalerweise ist es gängige Praxis unter Sicherheitsforschern, mit der Bekanntgabe neuer Schwachstellen zu warten, bis die Entwickler diese geschlossen haben, um Hackern keine Möglichkeit zu geben, von den Ergebnissen der Sicherheitsexperten zu profitieren. Laut Project Zero wurde auch Microsoft eine Woche vor dem Bericht über den Zero Day informiert, hat jedoch bislang kein entsprechendes Sicherheitsupdate herausgegeben. Dieses wird wahrscheinlich erst zum nächsten regulären Patch Tuesday am 10. November ausgespielt. Da jedoch der Fehler in Chrome in der aktuellsten Version bereits geschlossen wurde, können Nutzer sich so vor der bereits zum Einsatz gekommenen Taktik der Hacker schützen.