Die Schwachstelle betrifft GitLab EE, die Enterprise-Ausgabe der Entwicklungsplattform GitLab, und steckt in der Verarbeitung der KI-gestützten Duo-AI-Workflows. Ursache ist eine fehlerhafte Auflösung der Benutzeridentität: Wenn ein angemeldeter Nutzer einen Duo-AI-Workflow-Runner anstößt, ordnet das System die Ausführung unter bestimmten Bedingungen nicht zuverlässig dem richtigen Konto zu. Dadurch kann ein authentifizierter Angreifer erreichen, dass bestimmte Duo-AI-Workflows unter der Identität eines anderen Benutzers ablaufen. Der Angreifer handelt also im Namen eines fremden Kontos und kann auf diese Weise mit dessen Berechtigungen agieren, ohne dazu befugt zu sein. Betroffen sind Umgebungen, in denen die Duo-AI-Workflows genutzt werden; für einen Angriff genügt ein gültiger, angemeldeter Zugang zur Plattform.