No gerenciador de pacotes identificado (CVE-2019-18192), que permite que o código seja executado no contexto de outro usuário. O problema ocorre em configurações Guix multiusuário e é causado pela configuração incorreta de direitos de acesso ao diretório do sistema com perfis de usuário.
Por padrão, os perfis de usuário ~/.guix-profile são definidos como links simbólicos para o diretório /var/guix/profiles/per-user/$USER. O problema é que as permissões no diretório /var/guix/profiles/per-user/ permitem que qualquer usuário crie novos subdiretórios. Um invasor pode criar um diretório para outro usuário que ainda não efetuou login e organizar a execução de seu código (/var/guix/profiles/per-user/$USER está presente na variável PATH, e o invasor pode colocar arquivos executáveis neste diretório que será executado enquanto a vítima estiver em execução, em vez dos arquivos executáveis do sistema).
Fonte: opennet.ru