Die Angreifer benötigen einen speziell präparierten SMB-Server. Er kann zwischen Anfragen von Windows Defender und des Betriebssystems unterscheiden. Während der Server Windows Defender eine harmlose Datei übergibt, führt Windows eine gefährliche Variante aus.
