Anonüümne uurija varjunimega bikini avaldas GitHubis repositooriumis nimega exploitarium väidetavalt töötava ründekoodi nullpäeva turvanõrkuste kohta 15 tarkvaratootes ja avatud lähtekoodiga projektis, teavitamata eelnevalt tootjaid. Vähemalt kahte turvanõrkust juba ära kasutatakse.
Esimene on CVE-2026-55200 — kriitiline autentimiseelne kaugkäivituse turvanõrkus teegis libssh2, mis võimaldab ründajatel saata erilisi SSH-pakette ja rikkuda mäluala. Parandus on lisatud arendusharusse, kuid ametlikku väljalaset veel pole. Teine on CVE-2026-20896 — kriitiline autentimise möödaminek isemajutatud Gitea Dockeri paigaldustes, mis lubab võtta üle Giti serveri. See on parandatud versioonis Gitea 1.26.3.
Repositoorium hõlmas muu hulgas Splunki, RustDeski, 7-Zipi, VLC, AnyDeski, OpenVPN-i ja c-aresi. Uurijad, sealhulgas Ethan Andrews, kahtlustavad, et bikini kasutas turvanõrkuste leidmiseks tehisintellekti mudelit GPT-5.5 Codex. Andrews koostas 44 KQL-tuvastusreeglit kogu repositooriumi katmiseks. GitHub on repositooriumi eemaldanud, kuid sisu on internetis endiselt kättesaadav.