Lis erste Untersuchung ergab, dass das schädliche PDF weitgehend unbemerkt auf der öffentlichen Plattform VirusTotal lag — nur fünf von 64 Sicherheitswerkzeugen stuften es als verdächtig ein. Später entdeckte er eine weitere Version der Schadsoftware, die bereits am 28. November 2025 auf VirusTotal hochgeladen worden war. Das deutet darauf hin, dass Angriffe auf die Lücke mindestens seit diesem Zeitpunkt laufen.

Laut Li lässt sich CVE-2026-34621 allein dadurch auslösen, dass ein Nutzer das PDF öffnet — weitere Klicks oder Berechtigungen sind nicht erforderlich. In der Beschreibung der Lücke in der National Vulnerability Database (NVD) des NIST heißt es entsprechend, dass die Ausnutzung eine Nutzerinteraktion voraussetzt, da das Opfer eine schädliche Datei öffnen muss.

Beim Öffnen wird die stark verschleierte Schadsoftware sofort ausgeführt. Über einen API-Mechanismus von Adobe Reader sammelt sie zunächst detaillierte Informationen über die Umgebung des Opfers, darunter Angaben zum Betriebssystem, Softwareversionen, Spracheinstellungen und Dateipfade. Statt sofort eine vollständige Schadlast auszurollen, kundschaftet die Malware das System aus und sendet die gesammelten Daten zur Auswertung an die Infrastruktur der Angreifer zurück.

Über denselben Mechanismus kann die Schadsoftware Dateien direkt vom lokalen Rechner auslesen — möglicherweise vertrauliche Dokumente, Systemdaten oder andere sensible Informationen — und alles an einen entfernten Command-and-Control-Server übertragen. Angreifer erhalten so zugleich ein umfassendes Bild der Umgebung und direkten Zugriff auf gespeicherte Dateien.

„Das Sample fungiert als initialer Exploit mit der Fähigkeit, verschiedene Arten von Informationen zu sammeln und abzuführen, potenziell gefolgt von Exploits für Remote-Code-Ausführung (RCE) und Sandbox-Ausbruch (SBX)", schrieb Li in seinem Blog. Der Exploit missbrauche eine ungepatchte Zero-Day-Schwachstelle in Adobe Reader, um privilegierte Acrobat-APIs auszuführen, und funktioniere bestätigt auf der aktuellen Version von Adobe Reader.

Bei seinen Tests gelang es Li nicht, eine etwaige Folge-Schadlast abzurufen, die der Angreifer für ausgewählte Systeme entwickelt haben könnte. Allerdings funktionierte der Auslieferungsmechanismus für die zweite Stufe in seinen Tests einwandfrei — der Angreifer könnte eine betroffene Reader-Version also mit zusätzlichen RCE- oder SBX-Exploits angreifen. Dies könne, so Li, zur vollständigen Kontrolle über das System des Opfers führen.

Wie Adobe rät auch Malwarebytes, möglichst schnell auf die gepatchte Version zu aktualisieren. Wer das nicht kann oder will, solle beim Umgang mit PDFs oder unerwarteten Anhängen aus unbekannten Quellen „besonders vorsichtig" sein. Zudem empfiehlt der Anbieter, den gesamten HTTP-/HTTPS-Verkehr auf die Zeichenfolge „Adobe Synchronizer" im User-Agent-Feld zu überwachen.

Acrobat und Reader sind aufgrund ihrer großen Verbreitung und tiefen Integration in Betriebssystemfunktionen ein häufiges Angriffsziel. Bedrohungsakteure nutzen PDFs seit Jahren als Auslieferungsweg — etwa in staatlich gesteuerten Kampagnen, bei Ransomware-Operationen und gezieltem Phishing.