La vulnerabilidad no explota ninguna debilidad en las complejas fórmulas de encriptación utilizadas para codificar los mensajes y que hacen que parezcan auténticos jeroglíficos. En cambio, los atacantes si podrían hacerse con un fallo en el plug-in PGP para Outlook (con el que millones de usuarios de este software ampliamente extendido entre los internautas pueden cifrar sus mensajes con unos pocos clic de ratón) que les permitiría atacar el equipo del usuario y, bajo determinadas circunstancias, descifrar los mensajes.

Mediante el envío de un correo electrónico cifrado especialmente - que aparecía como un mensaje en blanco seguido por un mensaje de error - el intruso podría tomar el control total del equipo de la víctima para, a continuación, instalar por ejemplo un software espía que le facilite datos o claves confidenciales del usuario, algo que podría ser más difícil para el atacante con la existencia de una utilidad cortafuegos en el sistema.

Aunque eEye Digital no tiene evidencias de la explotación de esta vulnerabilidad, que incluso para investigadores experimentados podría pasar desapercibida, Network Associates ya ha anunciado la disponibilidad en su página web de una versión gratuita del programa corregida.

El descubrimiento de este agujero de seguridad es bastante grave si tenemos en cuenta que PGP es el estándar de facto para cifrar e-mails y su uso está ampliamente extendido no sólo a nivel particular o corporativo, sino también, entre oficinas gubernamentales como el FBI u otras agencias de inteligencia estadounidenses. En la teoría, sólo la información no clasificada estadounidense estaría en peligro ante este fallo ya que las agencias imponen reglas muy estrictas respecto a la transmisión de cualquier mensaje secreto - cifrado o no - sobre el Internet, para lo cuales se utilizan las propias redes secretas del gobierno.