Краткое содержание. Разработчики не проверяют работу OpenSource пакетов, которые подключаются в исходные коды из публичных репозиториев. Чуваку удалось выложить свои обертки над стандартными пакетами в публичные репозитории, а разработчики указанных компаний - успешно обновили на них свои продукты. Речь идет о всяких CMS, генерирующих контент страниц из файлов.
А вы проверяете пакеты перед обновлениями версий или доверяете?