копают исходники в сторону названия CVE. это частая практика, когда в целях предотвращения хека об уязвимости знает только ресерчер и вендор.