Hullet i CVS (Concurrent Versions System), ble oppdaget av tyske Stefan Esser i begynnelsen av januar. CVS er det dominerende systemet for versjonskontroll unne åpen kildekode-miljøene, men utgaver fram til og med 1.11.4 inneholder et hull som kan gi uvedkommende adgang til blant annet å eksekvere tilfeldig kode på serveren.
Sårbarheten, som kalles "double-free" kan utløses vet hjelp av et utvalg spesielt sammensatte katalogforespørsler. Mens disse forespørslene blir behandlet, kan en rutine for feilsjekking forsøke å frigi (free()) den samme minnereferanseren flere ganger. Fraordning av allerede frigitt minne fører til "heap corruption" - det vil si at oversikten over hvor mye minne som er tilgjengelig for en applikasjon, blir uriktig.
Dette kan gi en angriper muligheten til å eksekvere tilfeldig kode med superbruker-rettigheter, endre den logiske virksomheten i CSV-serverprogrammet eller lese sensitiv informasjon lagret i minnet. Men i de fleste tilfeller vil en slik feil føre til en segmenteringsfeil, som igjen fører til en tjenestenekt-tilstand.
CVS er ifølge ZDNet Australia brukt i forbindelse med mer enn 55.000 åpen kildekodeprosjekter, inkludert CVS selv.
Omfanget av dette hullet gjorde at Esser bestemte seg for å vente med å publisere opplysningene om hullet, inntil en feilfiks var klar, den 21. januar. Nye utgaver av CVS til de fleste aktuelle operativsystemer er nå tilgjengelige for nedlasting fra systemenes respektive nettsteder.