Товарищ видимо имел ввиду sys_module container capability bit:Parallels Virtuozzo Containers 4.7 for Linux User's Guide
* Configuring Capabilities
** Available Capabilities for Containers
*** Linux-Specific Capabilities
....
sys_module - Insert and remove kernel modules. Be very careful with setting
this capability on for a Container; if a user has the permission of
inserting kernel modules, this user has essentially full control over
the Node.
Лично я его не пробовал, но судя по описанию выставление этого бита на контейнере должно позволять прострелить себе не только ногу но и голову. Дойдут руки - попробую. Вопрос лишь в том, что управление capabilities доступно с хоста но никак не изнутри контейнера.