Hlavní členové opouštějí projekt Nginx z bezpečnostních důvodů.

Podle serveru Arstechnica opustil jeden z hlavních vývojářů Maxim Dounin Nginx, protože měl pocit, že se již nejedná o open-source a bezplatný projekt ve prospěch komunity. Dounin založil freenginx a uvedl, že jej budou provozovat vývojáři, nikoli korporátní organizace.

Dounin je jedním z prvních a stále nejaktivnějších programátorů na open-source projektu Nginx a byl jedním z prvních zaměstnanců společnosti Nginx Inc., která byla založena v roce 2011 za účelem poskytování komerční podpory pro software webových serverů. Podle W3techs se Nginx nyní používá v přibližně jedné třetině webových serverů na světě , následovaný Apache.

Společnost Nginx Inc. byla v roce 2019 získána společností F5 (se sídlem v Seattlu v USA). Na konci roku 2019 však byli dva manažeři Nginxu, Maxim Konovalov a Igor Sysoev, zadrženi a vyslýcháni ve svých domovech ruskými agenty. Internetová společnost Rambler si nárokovala vlastnictví zdrojového kódu Nginxu s tím, že byl vyvinut v době, kdy tam Sysoev pracoval (pracoval tam i Dounin). I když se pravděpodobně neobjevila žádná trestní obvinění, vniknutí ruské společnosti do populární open-source části webové infrastruktury vyvolalo určité obavy.

Sysoev opustil F5 a projekt Nginx začátkem roku 2022. Později téhož roku, kvůli ruské vojenské operaci na Ukrajině, F5 ukončila veškerou činnost v této zemi. Někteří vývojáři Nginxu vytvořili Angie na podporu uživatelů Nginxu v Rusku. Dounin v té době také přestal pro F5 pracovat, ale udržel si svou roli v projektu Nginx jako dobrovolník.

Dounin uvedl, že nové netechnické vedení F5 si nedávno myslelo, že přesně ví, jak provozovat open-source projekty. Tato skupina se zejména rozhodla zasahovat do bezpečnostních politik, které Nginx používal po léta, a obcházet i vývojáře. Došel k závěru, že to znamená, že již nemohou kontrolovat, jaké změny se v Nginxu provádějí, což vedlo k jeho odchodu.

Komentáře na The Hacker News , včetně jednoho od údajného zaměstnance F5, naznačují, že Dounin namítal proti připisování zveřejněných zranitelností CVE technologii QUIC. I když to není ve výchozím nastavení Nginxu povoleno, podle dokumentace Nginxu je QUIC součástí hlavní verze aplikace, obsahuje nejnovější funkce a opravy chyb a je vždy aktuální.

V rozhovoru pro The Hacker News Dounin uvedl, že tým F5 ignoroval jak projektovou politiku, tak obecný konsenzus vývojářů bez jakékoli diskuse. I když konkrétní krok nebyl nutně špatný, celkový přístup byl problematický.

Podle serveru Astechnica společnost F5 vyjádřila lítost nad Douninovým odchodem a uvedla, že úspěšné open-source projekty, jako je Nginx, vyžadují velkou a rozmanitou komunitu spolupracovníků a také uplatňování přísných oborových standardů pro identifikaci a hodnocení zranitelností. Společnost se domnívá, že se jedná o správný přístup k vývoji vysoce bezpečného softwaru pro zákazníky i komunitu.