Die Schwachstelle betrifft vm2, eine JavaScript-Sandbox, die nicht vertrauenswürdigen Code ausführen soll und dabei nur ausgewählte, freigegebene Node.js-Module zulässt. Der Fehler liegt in der Bereinigung von Ausnahmen (Exception Sanitization): Über die interne Funktion zur Ausnahmebehandlung lässt sich eine nicht bereinigte Ausnahme des Host-Systems auslösen. Ein Angreifer, der Code innerhalb der Sandbox ausführt, kann diesen Umstand nutzen, um aus der abgeschotteten Umgebung auszubrechen und beliebigen Code direkt im Kontext des Host-Systems auszuführen. Damit wird der eigentliche Zweck der Sandbox – die sichere Isolation fremden Codes – vollständig unterlaufen: Aus eingeschränktem Code im geschützten Bereich wird unbeschränkte Codeausführung mit den Rechten der Host-Anwendung. Betroffen sind Anwendungen, die vm2 einsetzen, um fremden oder dynamisch erzeugten Code auszuführen. Einen Behelf zur Umgehung gibt es nicht; die Lücke wurde in einer neueren Version behoben.