Доверяющий домен оказывается слишком «доверчивым» при проверке SID-идентификаторов, предоставляемых доверяемым доменом в процессе авторизации. Атакующий — например, администратор доверяемого домена с правами «только чтение» в доверяющем домене — имеет возможность добавить к данным авторизации SID-идентификатор, представляющий его администратором доверяющего домена. Уязвимость можно устранить при помощи предлагаемого Microsoft инструмента SID Filtering, который проверяет данные авторизации и удаляет идентификаторы, не принадлежащие к вызывающему домену.