Een ernstige kwetsbaarheid in de encryptiesoftware GnuPG en Gpg4win kan leiden tot remote code execution, aldus ontwikkelaar Werner Koch. Hoewel er nog geen CVE-nummer is toegekend, zijn er wel beveiligingsupdates beschikbaar. GnuPG is een gratis implementatie van de OpenPGP-standaard voor het versleutelen van data en communicatie. Gpg4win is een Windows-versie van GnuPG voor het versleutelen en ondertekenen van e-mails en bestanden.

Een speciaal geconstrueerd "CMS (S/MIME) EnvelopedData" bericht met een te grote wrapped session key kan een stack buffer overflow veroorzaken in de software. Dit kan resulteren in een denial of service, waarbij de software stopt met functioneren, maar volgens Koch is remote code execution ook zeer waarschijnlijk. Het beveiligingsprobleem werd ontdekt en gemeld door OpenAI Security Research. Koch ontving de melding op 18 januari en bracht op 27 januari gepatchte versies uit. Gebruikers worden aangespoord om de updates zo snel mogelijk te installeren.