Nem túl meglepő, hogy megfelelő kernel buggal minden sandbox (vagy jail, vagy container, vagy selinux csoda) megkerülhető.