Sfruttando CVE-2016-5696 , è possibile che un utente malintenzionato che deduce l'esistenza di una connessione TCP tra due dispositivi, interrompe tale connessione e inserisce dati arbitrari nel flusso TCP, senza la necessità di trovarsi nel percorso di rete tra i due dispositivi.
Leggendo gli articoli su questo, è chiaro che solo alcuni sistemi saranno vulnerabili; generalmente quelli con versioni del kernel Linux maggiori di 3.6, o dove le patch del kernel rilevanti sono state retro-applicate.
Data una connessione TCP tra un client e un server, non è chiaro quale di questi abbia bisogno che il kernel vulnerabile per la connessione sia potenzialmente vulnerabile. È sufficiente che entrambe le parti eseguano codice vulnerabile oppure l'attacco è possibile solo se entrambe le estremità presentano la vulnerabilità?