Mã khai thác và lỗ hổng zero - day được công bố trong cuộc thi Pwn2Own vào đầu tháng 4/2021.

Bản vá vẫn chưa được tích hợp vào các bản cập nhật chính thức cho các trình duyệt trên nền tảng Chromium downstream như Chrome, Edge và các trình duyệt khác. Điều này có nghĩa là các trình duyệt vẫn có khả năng bị tấn công. Google dự kiến phát hành phiên bản Chrome mới trong tháng 4/2021.

Mã khai thác gồm một tệp PoC HTML và một tệp JavaScript tương ứng. Mã có thể được tải vào trình duyệt trên nền tảng Chromium để khởi chạy chương trình máy tính Windows (ca lc.exe). Những kẻ tấn công cần phải vượt qua sandbox của trình duyệt Chrome để hoàn thành việc thực thi mã từ xa.

Mã khai thác của Agarwal tạo điều kiện cho kẻ tấn công chạy mã độc trên hệ điều hành người dùng, tuy nhiên, nhà nghiên cứu không đăng đầy đủ phiên bản cho phép thoát sandbox.

Nhà nghiên cứu Agarwal cho biết, mã khai thác có thể tấn công các dịch vụ chạy các phiên bản nhúng/phiên bản headless của Chromium, ở đó tính năng bảo vệ sandbox thường không được kích hoạt.