Качаем солюшн, распаковываем и открываем в студии. Произойдет одно из двух:

1. Вместе с солюшином у вас откроется калькулятор. Поздравляю, только что у вас выполнился произвольный код с теми же правами, с которыми запущена студия.
2. Вылезет ошибка загрузки одной их немерловских сборок. Видимо это потому, что у вас используется не 9342-ой билд, а я поленился и не заточил этот "эксплоит" под запуск с любыми версиями компилятора и библотеки. Но у вас еще есть шанс: просто запустите сборку проекта и получите все тот же калькулятор.

Понятно, что это не ахти какая уязвимость (а второй сценарий, так и вообще by design, без вопросов), но согласитесь, мало приятного в том, чтобы (например) загрузить из багтрекера выложенный кем-то код, якобы воспроизводящий баг, и получить себе на машину трояна, просто открыв этот проект или запустив его сборку. В связи с чем, два вопроса:

1. А зачем студия при открытии солюшена выполняет код используемых в проекте макросов? Ну зачем, в приницпе, понятно. А без этого никак? #Develop'ная интеграция вот, не запускает
2. Я так думаю, что макросам нафиг не нужен полноценный доступ ко всей системе. Не стоит ли научить компилятор размечать макролибы CAS-атрибутами с тем, чтобы ограничить их в правах и не дать натворить делов на машине разработчика в случае чего?