Die Schwachstelle betrifft vm2, eine quelloffene Sandbox-Umgebung zum isolierten Ausführen von JavaScript-Code unter Node.js. Eine Sandbox soll fremden Code so kapseln, dass er nicht auf das umgebende System zugreifen kann. Genau diese Abschottung lässt sich hier umgehen: vm2 bereinigt die Rückruffunktionen (Callbacks), die an die Promise-Methoden zur Behandlung asynchroner Abläufe übergeben werden, um eingeschleusten Code unschädlich zu machen. Diese Bereinigung greift jedoch nur bei der sandbox-internen Promise-Variante. Der Rückgabewert asynchroner Funktionen ist hingegen ein globales Promise-Objekt, dessen Methoden nicht bereinigt werden. Über diesen Weg kann ein Angreifer die Schutzmaßnahme aushebeln, aus der Sandbox ausbrechen und beliebigen Code außerhalb der Isolierung ausführen. Betroffen sind Anwendungen, die vm2 einsetzen, um nicht vertrauenswürdigen JavaScript-Code abgeschottet auszuführen – die Lücke hebt genau die Sicherheitsgrenze auf, für die vm2 eingesetzt wird.