Die Schwachstelle betrifft das KI-gestützte Entwicklungswerkzeug Claude Code. Beim erstmaligen Öffnen eines Projekts soll das Programm normalerweise einen Bestätigungsdialog anzeigen, mit dem die Nutzerin oder der Nutzer das Arbeitsverzeichnis ausdrücklich als vertrauenswürdig einstufen muss, bevor das Werkzeug dort aktiv wird. Der Fehler liegt in der Reihenfolge der Auswertung: Das Programm las den Berechtigungsmodus bereits aus den im Projekt mitgelieferten Konfigurationsdateien aus, bevor es entschied, ob dieser Vertrauensdialog überhaupt erscheint. Dadurch konnte ein bösartig präpariertes Repository in seiner eigenen, mitgelieferten Konfiguration einen besonders freizügigen Berechtigungsmodus festlegen, der die Berechtigungsabfragen umgeht. Beim ersten Öffnen wurde der Vertrauensdialog dann stillschweigend übersprungen, und die Nutzerin oder der Nutzer landete ohne sichtbare Rückfrage in diesem freizügigen Modus. So konnte ein vom Angreifer kontrolliertes Repository die Ausführung von Werkzeugen erreichen, ohne dass die betroffene Person dem ausdrücklich zugestimmt hatte.