นักวิจัยระบุว่า ช่องโหว่ด้านความปลอดภัยที่ปัจจุบันได้รับการแก้ไขไปแล้วใน vm2 JavaScript (sandbox module) ทำให้ผู้โจมตีสามารถ bypass การป้องกันจาก sandbox และสั่งรันโค้ดที่เป็นอันตรายบนเครื่องที่กำลังรัน sandbox ได้
ช่องโหว่มีหมายเลข CVE-2022-36067 ชื่อว่า Sandbreak โดยมีระดับความรุนแรงสูงสุดที่ 10 โดยปัจจุบันได้รับการแก้ไขไปแล้วในเวอร์ชัน 3.9.11 ที่เผยแพร่เมื่อวันที่ 28 สิงหาคม 2022 ทั้งนี้ VM2 เป็น Node library ที่ค่อนข้างได้รับความนิยม เพื่อใช้ในการเรียกใช้งาน untrusted code ด้วย allowlisted built-in modules นอกจากนี้ยังเป็นหนึ่งในซอฟต์แวร์ที่มีการดาวน์โหลดจำนวนมากที่สุดอีกด้วย โดยมีการดาวน์โหลดเกือบ 3.5 ล้านครั้งต่อสัปดาห์
บริษัทรักษาความปลอดภัยของแอปพลิเคชัน Oxeye ผู้ค้นพบช่องโหว่นี้ระบุว่า ช่องโหว่นี้เกิดจากกลไลของ Node.