Die Schwachstelle betrifft protobufjs-cli, das Kommandozeilen-Werkzeug zu protobuf.js. Konkret geht es um die Funktion zur statischen Code-Erzeugung (pbjs), die aus einem Protobuf-Schema fertigen JavaScript-Code generiert. Dabei werden Bezeichner wie Namensräume, Aufzählungstypen, Dienste oder daraus abgeleitete vollständige Namen direkt aus dem Schema übernommen. Diese vom Schema gesteuerten Namen werden nicht ausreichend bereinigt, sodass sie als unsichere JavaScript-Bezeichner in den erzeugten Code geschrieben werden können. Verarbeitet das Werkzeug ein eigens präpariertes Schema oder einen manipulierten JSON-Deskriptor, lässt sich auf diesem Weg unerwünschter Inhalt in die generierte JavaScript-Datei einschleusen. Betroffen sind damit vor allem Entwicklungs- und Build-Umgebungen, in denen Schemata aus nicht vertrauenswürdiger Quelle in statischen Code übersetzt werden. Behoben wird das Problem durch eine korrekte Bereinigung der aus dem Schema stammenden Namen.