Ich poste das hier einfach mal, falls jemand Nginx mit anfälligen rewrite-Mustern und anfälliger Software betreibt.
TL;DR: Ein Nginx RCE kann mit einem lokalen Root-Exploit kombiniert werden, wenn die Bedingungen ideal sind 
Der Fehler liegt im Rewrite-Engine von nginx. Konkret betrifft er die Interaktion zwischen drei Direktiventypen:
rewritemit Capture-Groups ($1,$2usw.), einerset-Direktive, die ein wörtliches Fragezeichen im Ersetzungsstring enthält, und einer nachfolgenden verkettetenif- oderrewrite-Direktive, die den Rewrite-Kontext erbt.
Dies gilt nicht für eine Standard-Installation von Discourse.