Zastaralý kód se skrýval v aplikaci distribuční platformy minimálně od roku 2008. Až do července loňského roku mohla třetí strana bezpečnostní díry využít k tomu, aby se dálkově zmocnila počítače své oběti, teoreticky kohokoliv z ~15 milionu aktivních uživatelů. Od července loňského roku až do vydání opravného patche (reagujícím na tuto chybu) se v programu sice kód nadále vyskytoval, ovšem při jeho spuštění by způsobil pouze pád programu.

Bug se objevuje při skládání fragmentů UDP packetů, kdy aplikace Steamu neověřuje, zda velikost alokovaného místa v paměti pro tuto operaci odpovídá skutečné velikosti přijímaných dat. Při úpravě velikosti odesílaných dat může útočník získat až 64kb místa na škodlivý kód. Aplikace poté neověřuje bezpečnost dat tohoto defragmentovaného pole a s pomocí dalších praktik je možné kód v uložené paměti spustit.

Na chybu upozornil 20. února Tom Court z bezpečnostní firmy Context. Její zneužití v praxi demonstroval formou videa (viz výše), ve kterém se dálkově zmocnil jiného počítače, na němž spustil kalkulačku. Reakce od provozovatele platformy Valve se dočkal během 12 hodin, kdy společnost implementovala opravný kód do beta verze Steamu. Součástí stabilního sestavení se pak stal 22. března, při této příležitosti se Tom Court dočkal poděkování v oficiálních release notes.

Tom Court ve svém blogpostu uvádí ponaučení pro všechny vývojáře, že i starý funkční kód musí být v průběhu let neustále přezkoumáván a posuzován, aby zvládal reagovat na moderní bezpečnostní standardy. Dle všeho byl zranitelný kód velmi starý, ale jelikož se jevil zcela funkčně, vývojáři neviděli důvod do něj jakkoliv zasahovat nebo na něm dále stavět.

„Fakt, že taková jednoduchá slabina s tak dalekosáhlými následky, nacházející se v natolik populární softwarové platformě po dobu tolika let, může být v roce 2018 zarážející. Tento případ by měl sloužit všem bezpečnostním výzkumníkům jako výstraha k důkladnějšímu hledání a nahlašování chyb,“ píše Tom Court.