Die Schwachstelle betrifft GitHub Enterprise Server, die selbst betriebene Variante der GitHub-Plattform. Sie beruht auf einer unzureichenden Bereinigung von Sonderzeichen: Bei einem Git-Push-Vorgang werden die vom Nutzer übergebenen Werte der sogenannten Push-Optionen nicht ausreichend gefiltert, bevor sie in interne Dienst-Header eingebaut werden. Das interne Header-Format verwendet ein Trennzeichen, das auch in der Nutzereingabe vorkommen kann. Dadurch kann ein Angreifer über speziell präparierte Push-Optionswerte zusätzliche, eigene Metadatenfelder in diese internen Header einschleusen. Voraussetzung ist Schreibzugriff (Push-Zugriff) auf ein Repository der Instanz. Gelingt die Einschleusung, kann der Angreifer auf der GitHub-Enterprise-Server-Instanz beliebigen Code ausführen und so die Kontrolle über das System erlangen. Betroffen sind Organisationen, die eine eigene GitHub-Enterprise-Server-Instanz betreiben und Nutzern mit Schreibrechten auf Repositorys vertrauen müssen – denn bereits ein solcher, eigentlich begrenzter Zugriff reicht aus, um die gesamte Instanz zu kompromittieren.