O problema está principalmente no processamento de ficheiros de fontes desconhecidas, sendo o principal fator que permite aos atacantes executarem código remotamente nas máquinas vulneráveis.
Versões afetadas do programa
Anteriores à 3.0.7
A falha mais grave é dada pelo CVE-2019-12874, sendo que, tecnicamente, é um problema designado por "double-free" na função "zlib_decompress_extra" do programa que reproduz, e que é ativada quando o mesmo parsa ou processa o tipo de ficheiro .mkv dentro do Matroska demuxer.
A segunda falha mais grave é dada pelo CVE-2019-5439, e é um problema designado por buffer overflow de leitura, que reside na função "ReadFrame", podendo ser chamado ou causado através de um ficheiro AVI especialmente criado ou malicioso.
Os problemas são especialmente graves, porque não é muito difícil para um atacante criar um ficheiro deste tipo de formato (mkv ou avi) e carregar para a internet, dado que são inúmeros os fóruns de visualização de conteúdo multimédia.
Versão corrigida
VLC 3.0.7 ou mais recente
Os utilizadores deverão ter cuidado com o conteúdo baixado da internet, e verificar sempre a fonte de onde baixam o conteúdo.
Fonte: https://www.techworm.net/2019/06/hack-pc-vlc-media-player.html