A forgalomirányítóba belépő csomagok összehasonlításra kerülnek a hozzáférési lista minden bejegyzésével (ACE), abban a sorrendben, ahogy az ACL-ben szerepelnek. A forgalomirányító addig folytatja az ACE-k feldolgozását, amíg egyezést nem talál. A csomagok vizsgálata csak eddig az első találatig tart, a többi bejegyzés nem kerül ellenőrzésre.
Ha a forgalomirányító nem talál egyezést a lista végéig, elutasítja a forgalmat. Ez azért van, mert alapértelmezés szerint az ACL végén egy implicit tiltás található a konfigurált bejegyzésekkel nem megegyező forgalom szűrésére. Az olyan ACL, amelyben csak egy tiltó bejegyzés van, minden forgalmat elutasít. Tehát legalább egy engedélyező utasításnak lenni kell az ACL-ben, különben minden blokkolódik.
Az ábrán lévő hálózatban, mindkét ACL kimenő irányban történő alkalmazása az R1 S0/0/0 interfészén azonos eredményre vezet. Míg a 192.168.10.0 hálózatból engedélyezett a hozzáférés az S0/0/0-n keresztül, addig a 192.168.11.0-ból ezek a hálózatok nem érhetők el.