GnuPG yazılımında, çoklu literal veri paketleri içeren OpenPGP mesajları kullanılarak imzasız verilerin doğrulanabileceği kritik bir güvenlik açığı tespit edildi. Bu açık, GnuPG'nin hangi paketin imzalı veriyi içerdiği konusunda yanıltılmasına olanak tanıyor ve böylece değiştirilmiş veya imzasız veriler için "geçerli imza" mesajı üretilmesine neden oluyordu. Bu durum, kullanıcıların sahte veya manipüle edilmiş verilere güvenmesine yol açabilecek ciddi bir riski beraberinde getiriyordu.
GnuPG projesinden Werner Koch tarafından hızlıca bir yama geliştirildi ve bu yama, ana geliştirme dalına dahil edildi. Güvenlik açığının kamuoyuna duyurulmasından kısa bir süre önce, 1.4.2.2 sürümü acil bir güvenlik güncellemesi olarak yayımlandı. Bu sürüm, söz konusu belirsiz imza verisi sorununu gidererek GnuPG'nin güvenliğini artırdı.
Yama sonrası, çeşitli mimarilerde (ppc, amd64, sparc, alpha, x86, arm, hppa, ppc64, ppc-macos) kapsamlı testler yapıldı. Testler, yeni sürümün hem kurulum ve derleme süreçlerinde sorunsuz çalıştığını hem de demo mesaj kutusu dosyalarını doğru şekilde işleyerek güvenlik açığını kapattığını gösterdi. Tüm güvenlik destekli mimarilerde kararlı olduğu onaylandıktan sonra, Gentoo Linux için GLSA (Güvenlik Danışmanlığı) yayımlandı ve böylece kullanıcıların bu kritik güvenlik güncellemesini alması sağlandı.
Bu güvenlik açığı, GnuPG'nin temel işlevi olan veri bütünlüğü ve kimlik doğrulamasını tehlikeye atarak dijital iletişimin güvenilirliğini sarsma potansiyeli taşıyordu.