Li konnte bestätigen, dass der entdeckte Exploit Nutzer- und andere Daten vom kompromittierten System sammelt. Die vollständige Angriffskette ließ sich jedoch nicht reproduzieren: Es gelang ihm nicht, weitere Schadkomponenten zu beschaffen, die für einen Sandbox-Ausbruch oder die Ausführung von Schadcode aus der Ferne genutzt werden könnten.

SecurityWeek hat Adobe kontaktiert. Eine Einschätzung des Unternehmens könnte allerdings auf sich warten lassen, da Adobe die Details zum Exploit erst um den 7. April herum erhalten hat.

Exploits, die auf die mutmaßliche Zero-Day-Lücke abzielen, wurden sowohl bei Expmon als auch bei VirusTotal eingereicht. Eine bei VirusTotal gefundene Probe wurde im November 2025 hochgeladen – ein Hinweis darauf, dass die Schwachstelle seit mindestens vier Monaten ausgenutzt wird.

Ein Analyst aus dem Bereich Bedrohungsanalyse, der die Exploits prüfte, stellte fest, dass die schädlichen PDF-Dateien Köder in russischer Sprache enthielten und auf aktuelle Ereignisse im russischen Öl- und Gassektor Bezug nahmen.

Adobe hat Li in den vergangenen Jahren als Meldenden mehrerer Schwachstellen in Reader und Acrobat genannt, darunter kritische Lücken zur Codeausführung. Bei einer 2024 entdeckten Reader-Schwachstelle mit der Kennung CVE-2024-41869 bestätigte Adobe jedoch keine Ausnutzung in freier Wildbahn, nachdem Li berichtet hatte, auf eine PDF-Datei gestoßen zu sein, die den Fehler offenbar zu missbrauchen versuchte.