challenge ACK を送信する必要がある場合、tcp_respond() は challenge ACK を構築して送信し、渡された mbuf を消費します。challenge ACK を送信しない場合、関数は戻り、mbuf がリークします。攻撃者が確立された TCP 接続の経路上にいるか、自身で影響を受ける FreeBSD マシンに TCP 接続を確立できる場合、簡単に challenge ACK 条件を満たすパケットを作成して送信できます。その結果、FreeBSD ホストは構成されたレート制限設定を超える各作成パケットに対して mbuf をリークさせます。つまり、デフォルト設定では、1 秒間に最初の 5 個のパケットを超えて送信された作成パケットが mbuf をリークさせます。技術的には、オフパスの攻撃者も、IP アドレス、TCP ポート番号、および場合によっては確立された接続のシーケンス番号を推測して FreeBSD マシンに向けてパケットを偽装することでこの問題を悪用できますが、その方法で効果的に行うのは難しいです。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。