Die Schwachstelle steckt im eingebauten SSH-Server der Versionsverwaltungs-Plattform Gogs, konkret in dessen Verarbeitung von SSH-Anfragen. Der Fehler ist eine Argument-Injektion: Ein Angreifer kann über eine SSH-Verbindung manipulierte Befehlsargumente einschleusen, indem er eine präparierte Umgebungs-Anfrage mit der Option zur Aufspaltung von Zeichenketten (–split-string) sendet. Dadurch lässt sich beliebiger Code aus der Ferne auf dem Server ausführen. Voraussetzung ist, dass der eingebaute SSH-Server überhaupt aktiviert ist und dass der Angreifer über ein gültiges Konto verfügt – er muss also authentifiziert sein, benötigt aber keine weitergehenden Rechte. Windows-Installationen sind von dem Problem nicht betroffen. Da Gogs typischerweise als zentrale Code-Hosting-Plattform mit Zugriff auf zahlreiche Repositories dient, kann die Übernahme des Servers weitreichende Folgen für die dort verwalteten Projekte haben.