#define VE_GET_PORT_NUM(e)     ((e) >> 16)
 #define VE_IS_IO_STRING(e)     ((e) & BIT(4))
 
+#define ATTR_DEBUG             BIT(0)
 #define ATTR_SEPT_VE_DISABLE   BIT(28)
 
 /* TDX Module call error codes */
         * TD-private memory.  Only VMM-shared memory (MMIO) will #VE.
         */
        td_attr = out.rdx;
-       if (!(td_attr & ATTR_SEPT_VE_DISABLE))
-               tdx_panic("TD misconfiguration: SEPT_VE_DISABLE attribute must be set.");
+       if (!(td_attr & ATTR_SEPT_VE_DISABLE)) {
+               const char *msg = "TD misconfiguration: SEPT_VE_DISABLE attribute must be set.";
+
+               /* Relax SEPT_VE_DISABLE check for debug TD. */
+               if (td_attr & ATTR_DEBUG)
+                       pr_warn("%s\n", msg);
+               else
+                       tdx_panic(msg);
+       }
 }
 
 /*
        }
 }
 
+static inline bool is_private_gpa(u64 gpa)
+{
+       return gpa == cc_mkenc(gpa);
+}
+
 /*
  * Handle the kernel #VE.
  *
        case EXIT_REASON_CPUID:
                return handle_cpuid(regs, ve);
        case EXIT_REASON_EPT_VIOLATION:
+               if (is_private_gpa(ve->gpa))
+                       panic("Unexpected EPT-violation on private memory.");
                return handle_mmio(regs, ve);
        case EXIT_REASON_IO_INSTRUCTION:
                return handle_io(regs, ve);