Zur PDF-Spezifikation gehört unter anderem die Option "Launch Actions/Launch File", mit deren Hilfe es möglich ist, in ein PDF-Dokument eingebettete Scripte und Dateien zu starten.
Wie heise berichtet, öffnen sowohl der Adobe Reader (mit Warnhinweis) als auch der Foxit PDF Reader (ohne selbigen) anstandslos eingebettete Scripte, und es ist durchaus wahrscheinlich, dass das auch auf etliche weitere PDF-Reader zutrifft, da es sich, wie beschrieben, nicht um eine Lücke in der Software, sondern einen Teil der PDF-Spezifikation handelt.
Um zu testen, ob ein PDF-Programm anfällig ist, stellt Stevens unter didierstevens.com ein Dokument bereit, das beim Start die Windows-Eingabeaufforderung auf den Bildschirm bringt.
Beim Adobe Reader verhindert die Deaktivierung der Option "Nicht-PDF-Dateianlagen dürfen in externen Anwendungen geöffnet werden" allem Anschein nach die Ausführung von Scripten und Dateien.
