Hacked in Translation – from Subtitles to Complete Takeover

Ezek szerint:
https://github.com/xbmc/xbmc/pull/12024/files
Egy pár speciális karakter eltávolítása megoldja a gondot.
A javítás ennyi:

static const std::regex PATH_TRAVERSAL(R"_((^|\/|\\)\.{2}($|\/|\\))_");

Nem fogom fel, hogy egy korrupt szövegfájltól, hogy indulhat el egy RFB server (a videóban ez van) és hogy lehet érintett ennyi program ebben.