Gdy na interfejsie routera umieszczona jest lista ACL, cały ruch sieciowy przechodzący przez niego porównywany jest z poszczególnymi wpisami ACE w kolejności, w jakiej tam występują. Dla każdego pakietu router przetwarza kolejne reguły do momentu, aż znajdzie dopasowanie. Gdy takie dopasowanie zostanie znalezione, pakiet zostanie przetworzony zgodnie z regułą, na której to dopasowanie wystąpiło, a pozostałe wpisy ACE nie będą już sprawdzane.
Jeśli dopasowanie nie zostanie znalezione do końca listy, ruch zostanie odrzucony. Jest tak, ponieważ, dla ruchu nie pasującego do żadnego wpisu, na końcu każdej listy ACL znajduje się tzw. niejawne odrzucenie. Pojedynczy wpis ACL, w którym występuje tylko jedna reguła deny, w efekcie blokuje cały ruch. Dlatego w każdej liście ACL powinien być przynajmniej jeden wpis zezwalający (permit), w przeciwnym wypadku cały ruch będzie blokowany.
W przypadku sieci na rysunku, zastosowanie list ACL 1 lub ACL 2 na interfejsie S0/0/0 w kierunku wyjściowym da ten sam efekt. Ruch z podsieci 192.168.10.0 do sieci osiągalnych przez interfejs S0/0/0 będzie przepuszczony, podczas gdy dostęp z podsieci 192.168.11.0 do tych samych sieci będzie zablokowany.