A falha é causada pelo processamento automático do conteúdo de um diretório `.git/` quando este está localizado no mesmo diretório que o arquivo que está sendo aberto. Nesse caso, o Emacs executa os comandos `git ls-files` e `git status` ao abrir o arquivo, no contexto do conteúdo de `.git/`. Para executar o código, basta abrir um arquivo no Emacs a partir de um diretório que contenha um subdiretório `.git/` com um arquivo de configuração que inclua a opção `core.fsmonitor` com o comando especificado pelo atacante. Os mantenedores do GNU Emacs se recusaram a corrigir a vulnerabilidade, atribuindo a culpa aos desenvolvedores do Git.
Fonte: linux.org.ru
