Die Schwachstelle betrifft GitHub Enterprise Server und ist eine Server-Side Request Forgery (SSRF). Sie sitzt in einem Upload-Endpunkt, der eingehende Eingaben nicht ausreichend prüft. Ein Angreifer kann sie aus der Ferne und ohne vorherige Anmeldung ausnutzen: Indem er präparierte Anfragen stellt und in die Anfrageparameter Inhalte zur Pfadmanipulation (Path Traversal) einschleust, umgeht er den vorgesehenen Anfrageablauf und lenkt interne API-Aufrufe um. Auf diesem Weg bringt er den Server dazu, in seinem Namen Anfragen an interne, eigentlich nicht von außen erreichbare Dienste zu richten. Dadurch kann er auf interne Systeme zugreifen und vertrauliche Zugangsdaten offenlegen, die dort hinterlegt sind. Besonders kritisch ist, dass weder gültige Anmeldedaten noch eine Benutzerinteraktion nötig sind und der Angriff über eine reguläre Upload-Funktion erfolgt. Betroffen ist die selbst betriebene Server-Variante; die Schwachstelle wurde über das Bug-Bounty-Programm des Herstellers gemeldet.