En el administrador de paquetes identificado (CVE-2019-18192), que permite ejecutar código en el contexto de otro usuario. El problema ocurre en configuraciones de Guix multiusuario y se debe a la configuración incorrecta de los derechos de acceso al directorio del sistema con perfiles de usuario.
De forma predeterminada, los perfiles de usuario ~/.guix-profile se definen como enlaces simbólicos al directorio /var/guix/profiles/per-user/$USER. El problema es que los permisos en el directorio /var/guix/profiles/per-user/ permiten a cualquier usuario crear nuevos subdirectorios. Un atacante puede crear un directorio para otro usuario que aún no haya iniciado sesión y organizar la ejecución de su código (/var/guix/profiles/per-user/$USER está presente en la variable PATH y el atacante puede colocar archivos ejecutables en este directorio que se ejecutará mientras la víctima se ejecuta en lugar de archivos ejecutables del sistema).
Fuente: opennet.ru