Суть проблемы в том, что структура tcp_skb_cb (Socket Buffer) рассчитана на хранение 17 фрагментов ("define MAX_SKB_FRAGS (65536/PAGE_SIZE + 1) => 17"). В процессе отправки пакета он размещается в очереди на отправку, а в tcp_skb_cb сохраняются детали о пакете, такие как номер последовательности, флаги, а также поля "tcp_gso_segs" и "tcp_gso_size", которые применяются для передачи драйверу информации о сегментировании (TSO, TCP Segmentation Offload) для обработки сегментов на стороне сетевой карты.

Фрагменты сохраняются при возникновении потери пакета или необходимости выборочной повторной передачи пакетов, в случае если включен механизм SACK и драйвером поддерживается TSO. При минимальном MSS выделяется всего 8 байт на один сегмент данных, соответственно, возрастает число сегментов, необходимых для отправки всех данных, и структура может достичь лимита в 17 фрагментов. Для защиты от переполнения в коде имеется проверка, которая приводит к вызову функции BUG_ON() и переводу ядра в состояние panic.

В качестве обходных путей защиты можно отключить обработку SACK (записать 0 в /proc/sys/net/ipv4/tcp_sack) или заблокировать соединения с небольшим MSS (работает только при выставлении sysctl net.ipv4.tcp_mtu_probing в 0 и может нарушить работу некоторых нормальных соединений с низким MSS).

В ядре Linux проблемы устранены в выпусках 4.4.182, 4.9.182, 4.14.127, 4.19.52 и 5.1.11. Исправление для FreeBSD доступно в виде патча. В дистрибутивах обновления пакетов с ядром выпущено для Debian, RHEL, SUSE/openSUSE, ALT, Ubuntu, Fedora и Arch Linux.