Hälften av katastrofen i det här kom av att man modifierat en säkerhetskritisk, normalt internetvänd applikation och gjort den beroende av säkerheten i flera andra, egentligen orelaterade projekt, för att den skulle stödja systemd. Det var den klåfingrigheten som förhöjde det till en RCE och det är bäraren av de fingrarna som har ett stort attitydproblem att jobba med.
Jag skulle vilja säga att det över lag är ett problem att folk använder något tredjepartsbibiliotek för att slippa skriva tio rader kod. Denna har sedan en drös dependencies, som i sin tur har ytterligare ett halvdussin dependencies vardera o.s.v. o.s.v.. Sen sitter man där med 50+ dependencies som ingen har koll på.
I det här fallet hade Debian en lokal patch som länkar in libsystemd inkl. alla transitiva dependencies till sshd enbart för att skicka en enkel notis att sshd har startat.