A esta falha foi atribuído o CVE-2019-3462, e pode ser explorada por um atacante através de um atacante MiTM para executar código arbitrário como root na máquina e instalar qualquer pacote.
Versões afetadas do gestor de pacotes
0.8.15 e anteriores.
Quando o utilizador se serve do comando apt-get, o HTTP redireciona os sistemas Linux a pedirem automaticamente pacotes a um servidor "mirror", quando os outros estão indisponíveis. Assim que o primeiro servidor não responde, outro servidor é chamado como sendo o mais apropriado.
Solução
Atualizar para a versão 1.4.9.
É também possível implementar o HTTPS de forma a prevenir a exploração da vulnerabilidade.
Mais informações aqui: https://www.bleepingcomputer.com/news/security/remote-code-execution-bug-patched-in-apt-linux-package-manager/