A virtualização não impede falhas do sistema operacional host, mas pode ajudar a reduzir o fator de risco.
O Docker nada mais é do que uma interface que traduz as chamadas do sistema de o programa virtualizado para o sistema operacional host. Portanto, uma ou uma combinação das chamadas ainda pode atingir um bug do sistema operacional e travar isso.
O Docker está, desta forma, mais sujeito a causar problemas do que máquinas virtuais clássicas, como o programa virtualizado é menos isolado no Docker, embora a probabilidade de isso acontecer no Docker é talvez um pouco menor do que quando executado diretamente no sistema operacional, porque as chamadas passam por duas interfaces em vez de uma e assim são duplamente verificados.
O Docker coloca alguns limites no programa virtualizado, como RAM e CPU máximas, o que pode ajudar a evitar falhas no sistema por causa de sobrecarga e saturação de recursos. Ele também oculta o sistema de arquivos do host do programa virtualizado (exceções sempre possíveis), evitando assim a sua corrupção pelo programa.