Der PDF-Sicherheitsspezialist Didier Stevens hat ein PDF-Dokument entwickelt, das – ohne eine konkrete Schwachstelle auszunutzen – einen PC infizieren könnte. Stevens macht sich dabei nach eigenen Angaben die Option „Launch Actions/Launch File“ zunutze, die sogar im PDF eingebettete Skripte oder EXE-Dateien starten kann – diese Option ist Bestandteil der PDF-Spezifikation.

Im Adobe Reader hilft es, unter Einstellungen/Berechtigungen die Option „Nicht-PDF-Dateianlagen dürfen in externen Anwendungen geöffnet werden.“ zu deaktivieren – standardmäßig ist sie aktiviert. Danach startet der Demo-Exploit beim Öffnen im Adobe Reader keine Eingabeaufforderung mehr.