Výzkumník Vishnu Dev odhalil chybu v QEMU, která dostala označení CVE-2019–14378. Umožňuje útočníkovi za pomoci DoS dosáhnout možnosti spouštět libovolný kód, kdy QEMU chybně vypočítá pointer v případě velkého množství fragmentovaných IPv4 paketů, dojde k přetečení bufferu a útočník se může dostat z virtualizovaného stroje na hostitele, kde spustí svůj kód.
Klikou je, že mechanismus této chyby není typicky u virtuálních strojů využit (používají jiný síťový mechanismus). Navíc na hostujícím stroji jsou potřebné další podmínky (např. k exploitu dalších VM či překonání bariéry v podobě SELinuxu).
