Der Entwickler Drake Wilson hat in der Debian-Security-Mailing-List von einer Schwachstelle berichtet. Der Fehler liegt in einem falschen Verhalten der Funktion "hack-local-variables", wenn diese auf ":safe" gesetzt ist. In der Dokumentation der Funktion sei zu lesen, so Wilson, dass Emacs dann nur als sicher gesetze Variablen ausführt. Doch das ist nicht der Fall: Emacs ignoriert die Funktionn und nutzt alle lokalen Variablen. Diesen Umstand kann ein Angreifer nutzen, um die Init-Datei des aktuellen Benutzers zu modifizieren und mit einer entsprechend präparierten Emacs-Lisp-Datei beliebigen Code auszuführen.

Der Fehler betrifft die Emacs-Version 22.1 sowie möglicherweise weitere. Das Paket für Emacs 22.1 im Repository von Debian Etch weise den Fehler nicht auf, schreibt ein weitere Entwickler. Ein Fix findet sich bereits im CVS-Verzeichnis. Für den Fehler wurde die CVE-Nummer CVE-2007-5795 reserviert. Die Entwickler von GNU Emacs wurden benachrichtigt.