Použitá DLL knihovna byla vytvořena v roce 2006 bez ochranných mechanismů novějších verzí Windows.
Výzkumný tým Check Point Research odhalil pomocí fuzzeru WinAFL logickou chybu a zranitelnost ve WinRARu. Chybu lze jednoduše zneužít jen při rozbalení škodlivého souboru a ohroženo je všech více než 500 milionů uživatelů tohoto populárního programu.
Chyba existovala více než 19 let a přinutila společnost WinRAR skončit s podporou zranitelného formátu ACE. Samotná zranitelnost se týkala pouze zpracování tohoto formátu, takže i bez bezpečnostní aktualizace se lze rizika zbavit prostě ignorováním příslušných souborů.
Před několika měsíci vytvořil tým Check Point Research multiprocesorovou fuzzing laboratoř a začal testovat prostředí Windows pomocí fuzzeru WinAFL. Po zajímavých výsledcích z testování Adobe začali výzkumníci testovat fuzzerem také WinRAR. Jeden z problémů vyvolaných fuzzerem ukázal na starší DLL knihovnu, která byla vytvořena v roce 2006 bez ochranných mechanismů novějších verzí Windows (ASLR, DEP atd.) a využívá ji právě WinRAR.
Check Point Research proto zaměřil pozornost a fuzzer na toto DLL a hledal chybu, která by vedla ke vzdálenému spuštění kódu. Fuzzer odhalil podivné chování a další analýzou našel výzkumný tým logickou chybu. Potom už bylo jednoduché zranitelnost zneužít pro vzdálené spuštění kódu: škodlivý soubor vypadá jako rbxm, což je 3D model pro Roblox, populární herní online platformu. Ale kromě 3D modelu je v archivu ukryt i soubor v JavaScriptu, který stáhne a spustí další škodlivý kód.