Die Schwachstelle betrifft Gogs, einen quelloffenen, selbst gehosteten Git-Dienst. Sie sitzt in der Funktion zum Löschen einer Veröffentlichung (Release). Beim Löschvorgang wird der Name eines Tags an das Kommandozeilenwerkzeug git weitergereicht. Da dieser Tag-Name von Benutzern kontrolliert werden kann und ohne das korrekte Trennzeichen übergeben wird, lässt sich der Name so gestalten, dass er nicht mehr als reiner Wert, sondern als zusätzliche Befehlsoption von git interpretiert wird. Auf diese Weise kann ein Angreifer eigene git-Optionen einschleusen und damit den Ablauf des Prozesses manipulieren. Ausgangspunkt ist also eine fehlende saubere Trennung zwischen den von git erwarteten Argumenten und den vom Benutzer gelieferten Daten. Betroffen sind Installationen, bei denen Angreifer Einfluss auf Tag-Namen nehmen können, sodass über das Löschen eines Releases das Verhalten des aufgerufenen git-Befehls verändert wird.