Los denominados programas de código abierto, como Linux, Apache y MySQL, no son creados por individuos o por empresas, sino por decenas o cientos de programadores que se unen para desarrollar o mejorar el código en un entorno de trabajo en línea.
Tal modalidad de trabajo requiere de un programa que coordine el trabajo del grupo y sus avances, procurando que los programadores no sobrescriban el código entre sí. En la mayoría de los proyectos de código abierto, el programa usado para tales efectos es CVS (Concurrent Version System), en el cual se ha detectado un agujero de seguridad de rango crítico.
El agujero de seguridad hace posible que intrusos asuman el control del servidor CVS y, en el peor de los casos, manipulen el código fuente. Esto hace posible, en teoría, incluir en el código herramientas de hacking o puertas secretas que pasarían a ser parte del propio programa.
En un informe sobre el tema, CERT escribe que hay un considerable riesgo secundario de que el código administrado por CVS sea modificado, de forma que incluya troyanos u otras formas de código maligno.
