Die Schwachstelle betrifft vm2, eine Sandbox-Bibliothek für Node.js, die dazu dient, nicht vertrauenswürdigen Code in einer abgeschotteten Umgebung auszuführen – dabei sind nur ausgewählte, freigegebene Node-Module zugänglich. Genau diese Abschottung lässt sich umgehen: Ein Angreifer, der Code innerhalb der Sandbox zur Ausführung bringt, kann aus der isolierten Umgebung ausbrechen und beliebigen Code direkt auf dem zugrunde liegenden Host ausführen. Damit verliert die Sandbox ihren eigentlichen Schutzzweck vollständig. Besonders kritisch ist das überall dort, wo vm2 eingesetzt wird, um fremden oder vom Nutzer gelieferten Code gefahrlos laufen zu lassen – etwa in Online-Editoren, Plugin-Systemen oder Diensten, die eingereichten Code verarbeiten. In solchen Szenarien genügt bereits die vorgesehene Funktion – das Einreichen von Code –, um die Kontrolle über das ausführende System zu erlangen. Umgehungslösungen sind nicht bekannt.