CVSのサーバ機能に、不正なリクエストによってCVSレポジトリの置かれているファイルシステムのルートにディレクトリを作成できてしまうという脆弱性が発見された。この脆弱性を修正した安定バージョン1.11.10および開発バージョン1.12.3が既にダウンロード可能となっている。