Hanno Böck, avtorica projekta , o ranljivosti interaktivnih vmesnikov za prevajanje, ki omogočajo obdelavo zunanje kode v jeziku C. Pri podajanju poljubne poti v direktivi "#include" napaka pri prevajanju vključuje vsebino datoteke, ki je ni bilo mogoče prevesti.
Na primer, z zamenjavo »#include « v kodo v eni od spletnih storitev je izhod lahko pridobil zgoščeno vrednost gesla korenskega uporabnika iz datoteke /etc/shadow, kar tudi nakazuje, da spletna storitev deluje s korenskimi pravicami in izvaja ukaze za prevajanje kot root (možno je, da je bil med prevajanjem uporabljen izoliran vsebnik, vendar je tudi izvajanje kot root v vsebniku težava). Problematična storitev, v kateri je bilo možno ponoviti težavo, še ni oglaševana. Poskusi odpiranja datotek v psevdo FS /proc so bili neuspešni, ker jih GCC obravnava kot prazne datoteke, vendar odpiranje datotek iz /sys deluje.
Vir: opennet.ru