Die Schwachstelle betrifft vm2, eine Sandbox-Bibliothek, die nicht vertrauenswürdigen Code in einer abgeschotteten Umgebung ausführen soll und dabei nur ausgewählte eingebaute Node-Module freigibt. Der Fehler liegt in der Behandlung von Objekten der Wirtsumgebung, die im Fall von nicht abgefangenen asynchronen Fehlern an die interne Aufbereitung von Stack-Traces übergeben werden. Über diesen Weg kann ein Angreifer aus dem in der Sandbox laufenden Code ausbrechen und die Isolation umgehen. Gelingt der Ausbruch, lässt sich auf dem System, das die Sandbox betreibt, beliebiger Code ausführen – der Angreifer erlangt also Kontrolle über das eigentliche Wirtssystem statt nur über die abgeschottete Umgebung. Besonders kritisch ist das, weil vm2 gerade dazu eingesetzt wird, fremden oder potenziell bösartigen Code gefahrlos auszuführen; genau diese Schutzfunktion wird hier ausgehebelt. Umgehungslösungen sind nicht bekannt.