Согласно бюллетеню GitLab, некорректная реализация этого механизма позволяет владельцу премиум-группы добавить участника проекта, указав его имя пользователя и email, затем подменить адрес электронной почты (через SCIM) и угнать, таким образом, аккаунт новобранца, если тот не включил 2FA.

https://yandex.ru/news/story/VGitLab_EE_ustranili_kriticheskuyu_uyazvimost_grozyashhuyu_ugonom_akkauntov--874da9b3dc100bf3442e87f8bc7c0c08?lang=ru&from=rss&wan=1