Nas situações em que um atacante recebe uma notificação automatizada do sucesso ou falha de uma tentativa de descriptografia, o atacante, após enviar um número muito grande de mensagens a serem descriptografadas, pode recuperar uma chave de criptografia transportada CMS/PKCS7 ou descriptografar qualquer mensagem criptografada RSA que foi criptografada com a chave pública RSA, usando um ataque de padding oracle Bleichenbacher. Os aplicativos não serão afetados se eles usarem um certificado junto com a chave RSA privada para as funções CMS_decrypt() ou PKCS7_decrypt() para selecionar as informações corretas do destinatário a descriptografar.