Een groep academici heeft kritieke fouten gevonden in de PGP- en S/Mime-versleutelingstools zoals Thunderbird, Outlook and Mac Mail App. Als de kwetsbaarheden worden uitgebuit, kan een aanvaller berichten decoderen, verzenden of ontvangen, ook van e-mails uit het verleden.

Als een aanvaller toegang heeft tot een versleutelde e-mail, kan hij deze gebruiken om een kwaadaardige kopie van die versleutelde e-mail te maken en deze naar de oorspronkelijke afzender of een van de oorspronkelijke ontvangers te verzenden. Het openen van de e-mail in een kwetsbare omgeving maakt de ontcijferen van de e-mail en de exfiltratie van de ontcijferde e-mail via een HTML hyperlink met behulp van de private key mogelijk.

Een tweede kwetsbaarheid "Malleability gadget exfiltration channel" genaamd, is gebaseerd op CFB/CBC vervorming van niet versleutelde tekst. Deze eigenschap staat een aanvaller toe om versleutelde tekstblokken te herschikken, te verwijderen of in te voegen, of om niet versleutelde tekst te veranderen zonder de encryptiesleutel te gebruiken.  Hierbij kunnen kwaadaardige fragmenten in de tekst gevoegd worden.

Beide procedures worden in detail beschreven op https://efail.de.