هنگام نوشتن محتویات فایلها، WinRAR عادیسازی مسیر را انجام میدهد که فضاهای اضافه شده را حذف میکند، زیرا ویندوز به فایلهایی با فاصلههای انتهایی اجازه نمیدهد.
در نهایت، WinRAR ShellExecuteExW را فراخوانی میکند و مسیر غیرعادیشده را با فضای انتهایی “%TEMP%\{random_directory}\poc.png_â برای اجرای فایل انتخاب شده توسط کاربر میگذراند. در داخل، ShellExecute تلاش می کند تا پسوندهای فایل را با فراخوانی “shell32!PathFindExtension” شناسایی کند که با شکست مواجه می شود زیرا پسوندهای دارای فاصله نامعتبر در نظر گرفته می شوند. به جای نجات، ShellExecute اقدام به فراخوانی “shell32!ApplyDefaultExts» می کند که در میان تمامی فایل های یک دایرکتوری تکرار می شود و اولین فایل را با پسوندی مطابق با فایل های کدگذاری شده پیدا می کند و اجرا می کند: “.pif، .com، . exe، .bat، .lnk، .cmdâ€.
توجه داشته باشید، در حالی که اکثر نمونههایی که از CVE-2023-3883 بهرهبرداری میکنند، از یک ورودی بایگانی با فضای انتهایی استفاده میکنند، الزامی نیست، و یک فاصله در هر موقعیتی در پسوند فایل برای راهاندازی باگ کافی است (مثلاً ورودی با “poc invalid_ext. همچنین باعث میشود که مسیر کد «shell32!ApplyDefaultExts» طی شود.