Линукс пишут всем миром (но по факту 90% исправлений вносит персонал 10 крупнейших ИТ компаний), любой разработчик может прислать исправления в проект. В команде разработки сидят специальные люди, которые проверяют и тестируют исправления от таких вот разработчиков. И вот, два разработчика прислали патчи с заранее встроенными уязвимостями, и они мало того, что не были найдены, а были приняты и отправлены в основной репозиторий, об этих уязвимостях команде разработчиков сообщили сами разработчики патчей. Т.е. уязвимости так и не были найдены.