Der Fehler steckt in der Container-Runtime RunC. Ein schädlicher Container kann die Binärdatei von RunC überschreiben und so Schadcode auf einem Host-System ausführen, und zwar mit Root-Rechten.
Quelle: ZDNet.de – Kritische Lücke in Docker und Kubernetes erlaubt Codeausführung auf Host-Systemen