Die Schwachstelle betrifft die Trivy Action, eine GitHub-Action, mit der das Schwachstellen-Scanwerkzeug Trivy innerhalb von GitHub-Workflows ausgeführt wird, um etwa Container-Images zu prüfen. Sie entsteht durch eine fehlerhafte Verarbeitung der Eingabewerte, die der Action übergeben werden: Aus diesen Eingaben werden Zeilen zum Setzen von Umgebungsvariablen erzeugt und in eine Hilfsdatei geschrieben, die später von der Shell eingelesen und ausgeführt wird. Da die Werte dabei nicht korrekt für die Shell maskiert werden, kann ein Angreifer über Eingaben mit Shell-Sonderzeichen – etwa Konstrukte zur Befehlssubstitution mit Backticks oder Klammerausdrücken – eigene Befehle einschleusen. Beim Einlesen der Datei werden diese dann ausgeführt, sodass beliebige Befehle im Kontext des GitHub-Actions-Runners laufen. Voraussetzung ist, dass ein Workflow vom Angreifer kontrollierte Daten an eine betroffene Eingabe der Action weiterreicht und der Angreifer Zugriff auf diese Eingabe hat. Workflows, die keine solchen Daten in die Action geben, sind nicht betroffen.