De kwetsbaarheid bevindt zich volgens The Register in de BIOS, het systeem dat voor de eerste communicatie tussen hardware en besturingssysteem zorgt als een gebruiker een apparaat aanzet.
BIOS’en worden grotendeels door derde partijen, zoals bijvoorbeeld chipmaker Intel, gebouwd. Pc-fabrikanten kopen de BIOS vervolgens van zo’n derde partij en passen die aan voor de specifieke pc waarop de BIOS moet draaien.
Aangezien het lek in het deel van de BIOS zit dat niet door Lenovo zelf is gemaakt, bestaat het vermoeden dat de kwetsbaarheid in het systeem zit zoals dat aangeleverd wordt door de fabrikant van de BIOS. Dat zou betekenen dat andere bedrijven die BIOS’en van dezelfde bron aanschaffen, ook kwetsbaar zijn.
Lenovo is zich bewust van het lek en zegt zo snel mogelijk met een patch te komen. Het is niet duidelijk of de kwetsbaarheid een bug is, of een bewust ingebouwde achterdeur in de code.