Bei dieser Schwachstelle handelt es sich um eine sogenannte TOCTOU-Race-Condition (Time-of-Check Time-of-Use) in GitHub Copilot und Visual Studio. Der Fehler entsteht dadurch, dass zwischen dem Zeitpunkt, zu dem eine Bedingung oder Ressource geprüft wird, und dem Zeitpunkt, zu dem sie tatsächlich verwendet wird, eine Lücke besteht. Ein Angreifer kann dieses kurze Zeitfenster gezielt ausnutzen und den Zustand zwischen Prüfung und Verwendung manipulieren. Voraussetzung ist, dass der Angreifer bereits über eine Berechtigung verfügt – er muss also bis zu einem gewissen Grad autorisiert sein. Gelingt das Ausnutzen, kann er über das Netzwerk eigenen Code zur Ausführung bringen und damit Aktionen auf dem betroffenen System anstoßen, die ihm eigentlich nicht zustehen. Betroffen sind die Entwicklungsumgebung Visual Studio sowie der KI-gestützte Programmierassistent GitHub Copilot.