De kwetsbaarheden werden afgelopen zaterdag gepubliceerd door het bedrijf Security Explorations. In een uitgebracht tussenrapport maakt het bekend dat het whitelisting binnen Google App Engine (GAE) weet te omzeilen en dat het code uit de Java VM sandbox kan laten ontsnappen. Ook heeft het onder andere toegang tot de achterliggende libraries en runtimes van de JRE verkregen.

Google heeft het werk van de onderzoekers kennelijk opgemerkt, want zaterdag sloot de leverancier zonder verdere toelichting het account van de beveiligingsonderzoekers. Security Explorations hoopt dat Google deze schorsing snel ongedaan maakt zodat het zijn bevindingen kan dubbelchecken en Google en de securitycommunity een complete rapportage kan aanbieden.

Binnen de PaaS-omgeving van Google App Engine draaien vele bedrijven op maat gemaakte Java-software. Normaal gesproken is slechts een beperkt aantal functies in staat binnen Google's JRE te draaien. Google heeft nog niet op de onthulling gereageerd.