KDE:ssä tunnistettuhaavoittuvuus, jonka avulla hyökkääjä voi suorittaa mielivaltaisia komentoja, kun käyttäjä tarkastelee hakemistoa tai arkistoa, joka sisältää erityisesti suunniteltuja ".desktop"- ja ".directory"-tiedostoja. Hyökkäys edellyttää, että käyttäjä vain tarkastelee tiedostoluetteloa Dolphin-tiedostonhallinnassa, lataa haitallisen työpöytätiedoston tai vetää pikakuvakkeen työpöydälle tai asiakirjaan. Ongelma ilmenee nykyisessä kirjastojen julkaisussa KDE-kehykset 5.60.0 ja vanhemmat versiot, KDE 4 asti. Haavoittuvuus on edelleen olemassa jäännöksetkorjaamaton (CVE:tä ei ole määritetty).
Ongelma johtuu KDesktopFile-luokan virheellisestä toteutuksesta, joka "Icon"-muuttujaa käsitellessään välittää arvon ilman asianmukaista esca-merkkiä KConfigPrivate::expandString()-funktiolle, joka suorittaa komentotulkin erikoismerkkien laajentamisen, mukaan lukien käsittelyn. merkkijonot "$(..)" suoritettaviksi komentoiksi . Vastoin XDG-spesifikaatiota, toteutus paljastaminen kuorirakenteet tuotetaan erottelematta asetustyyppiä, ts. ei vain määritettäessä käynnistettävän sovelluksen komentoriviä, vaan myös määritettäessä oletusarvoisesti näkyviä kuvakkeita.
Esimerkiksi hyökkäämään riittää lähettää käyttäjälle zip-arkisto, jossa on hakemisto, joka sisältää ".directory"-tiedoston, kuten: