Die Schwachstelle betrifft jsPDF, eine JavaScript-Bibliothek zum Erzeugen von PDF-Dokumenten. Sie liegt in der Methode addJS, mit der sich JavaScript-Code in ein erzeugtes PDF einbetten lässt. Kann ein Angreifer das Argument dieser Methode steuern, lässt sich der Defekt ausnutzen: Durch eine gezielt gestaltete Eingabe bricht er aus der vorgesehenen JavaScript-Zeichenkette aus, indem er das begrenzende Trennzeichen verlässt, und schleust so beliebige PDF-Objekte in das Dokument ein. Auf diese Weise kann er die Struktur des erzeugten Dokuments verändern oder darin schädliche Aktionen hinterlegen. Betroffen ist letztlich jeder, der das so erzeugte PDF öffnet – der Schaden entsteht also nicht beim Erzeugen, sondern beim späteren Anzeigen der Datei. Besonders relevant ist das überall dort, wo PDF-Inhalte aus Daten zusammengesetzt werden, die ganz oder teilweise von Nutzern stammen. Als Behelfslösung lassen sich Klammern in nutzerseitig bereitgestelltem JavaScript-Code maskieren, bevor er an addJS übergeben wird.