Уязвимость в NT - относительнный путь к оболочке пользователя.

По-умлочанию explorer.exe ищется в корневой директории системного раздела, что позволяет подменить его и таким образом запустить приложение с правами другого пользователя.