Nach der Darstellung von Haifei Li lässt sich die Schwachstelle ausnutzen, um beim Öffnen speziell präparierter PDF-Dokumente in Adobe Reader schädlichen JavaScript-Code auszuführen. Es gebe Hinweise darauf, dass die Lücke möglicherweise bereits seit Dezember 2025 ausgenutzt werde.

Der eigentliche Kern des Problems liegt in einem als Prototype Pollution bezeichneten Fehler. Diese JavaScript-Schwachstelle erlaubt es Angreifern, die Objekte und Eigenschaften einer Anwendung zu manipulieren – im vorliegenden Fall mit der Möglichkeit, beliebigen Code auszuführen. Betroffen sind nach Adobes Angaben sowohl die Windows- als auch die macOS-Versionen der genannten Produkte.

EXPMON ordnete Adobes Reaktion in einem Beitrag auf X ein: Offenbar sei Adobe zu dem Schluss gekommen, dass der Fehler zu beliebiger Codeausführung führen könne – und nicht nur zu einem Informationsabfluss. Das decke sich mit den eigenen Erkenntnissen und denen weiterer Sicherheitsforscher aus den vergangenen Tagen.

Bemerkenswert ist die nachträgliche Korrektur der Risikobewertung. Ursprünglich war die Lücke mit einem CVSS-Wert von 9.6 eingestuft worden; dieser wurde später auf 8.6 gesenkt. In einer überarbeiteten Fassung seines Sicherheitshinweises vom 12. April 2026 erklärte Adobe, man habe den Angriffsvektor von „Netzwerk“ (AV:N) auf „Lokal“ (AV:L) angepasst.