A vsftpd hivatalos honlapjáról elérhető 2.3.4-es verzió kódjába támadók hátsó kaput helyeztek. Amennyiben a preparált szoftvernek FTP bejelentkezéskor a :) felhasználónevet adjuk meg, bind shell nyílik a kiszolgáló 6200-as portján. A módosított szoftver nem jelzi a gazdájának, hogy telepítették. A teljes diff itt olvasható.

A GPG aláírás ellenőrzésekor a turpisság természetesen kiderül. A csomagok mostantól egy biztonságosabbnak tartott mirroron is elérhetők.