Die Schwachstelle steckt in Gogs, einer selbst gehosteten Software zur Verwaltung von Git-Quellcode-Repositorien. Der Fehler tritt beim Anlegen eines neuen Releases auf, genauer beim Setzen des zugehörigen Git-Tags: Gogs übernimmt dabei Eingaben in einen Aufruf, ohne sie ausreichend von den Befehlsparametern zu trennen. Dadurch lassen sich über manipulierte Eingaben zusätzliche, nicht vorgesehene Argumente in den ausgeführten Befehl einschleusen (sogenannte Argument-Injection). Ein Angreifer, der den Tagging-Vorgang für ein neues Release beeinflussen kann, vermag auf diesem Weg das Verhalten des aufgerufenen Programms zu verändern und über die so eingeschmuggelten Argumente unerwünschte Aktionen auf dem Server auszulösen. Betroffen ist die serverseitige Verarbeitung des Release-Taggings; gefährdet sind damit Betreiber, die Gogs als zentrale Plattform für ihre Code-Repositorien einsetzen.