Met het OpenPGP-protocol kunt u de bestandsnaam van het originele invoerbestand opnemen in een ondertekend of versleuteld bericht. Tijdens de ontcijfering en verificatie kan de GPG tool een bericht met die bestandsnaam weergeven. Aangezien deze weergegeven bestandsnaam niet is gesaneerd en als zodanig mogelijk line-feeds of andere control karakters bevat, kan dit gebruikt worden om control messages te injecteren.

Deze statusmeldingen worden door programma's uitgelezen om van de GPG informatie te krijgen over de geldigheid van een handtekening en andere parameters. Door gebruik te maken van een verzonnen bestandsnaam in het bericht, is het mogelijk om deze statusberichten te vervalsen. Met deze techniek is het mogelijk om de verificatie van een ondertekende mail te vervalsen.

Deze kwetsbaarheid beperkt zich niet enkel tot e-mailbeveiliging, aangezien GnuPG ook wordt gebruikt voor het beveiligen van back-ups, software-updates bij distributies en broncode in versiebeheersystemen zoals Git.