Die nun geschlossene Schwachstelle betrifft laut Haifei Li eine DLL, die sowohl von Word als auch von Outlook stark genutzt wird. Der Forscher demonstrierte die mögliche Wirkung in einer Umgebung mit Outlook und Exchange Server. Microsoft schreibt ihm die Meldung der Lücke offiziell zu.
In einem Beitrag auf X warnte Li eindringlich davor, das Update aufzuschieben. Die Gefahr solcher Zero-Click-Fehler in Outlook liege darin, dass sie ausgelöst werden, sobald das Opfer die E-Mail liest oder in der Vorschau betrachtet – ohne dass Links oder Anhänge angeklickt werden müssten.
Da die Fehler in der Rendering-Engine von Outlook für E-Mails liegen, sei eine Eindämmung oder Blockade schwierig. Als wirksame Gegenmaßnahme nennt Li allerdings die Einstellung, E-Mails in Outlook ausschließlich im Nur-Text-Format darzustellen.
Li zog einen Vergleich zu einer Outlook-Schwachstelle, die er vor mehr als einem Jahrzehnt entdeckt hatte. Jener Fehler wurde unter CVE-2015-6172 geführt und unter dem Namen BadWinmail bekannt; der Forscher bezeichnete ihn damals als „Enterprise-Killer". Die neue Lücke weise denselben Angriffsvektor und dieselbe potenzielle Wirkung auf.
Im Kern könne jeder einen Geschäftsführer oder Finanzvorstand allein durch das Versenden einer E-Mail kompromittieren, erklärte Li. Die Bedrohung umgehe Unternehmens-Firewalls vollständig und werde direkt in den Posteingang zugestellt.
Microsoft hat die Schwachstelle mit der Bewertung „Ausnutzung wahrscheinlicher" eingestuft. Li räumte jedoch ein, dass er für CVE-2026-40361 lediglich einen Proof of Concept entwickelt hat und keinen funktionsfähigen Exploit, der tatsächlich Code zur Ausführung bringt. Die Entwicklung eines solchen Exploits sei zwar nicht einfach, doch die Kreativität von Angreifern dürfe nicht unterschätzt werden.