O PhantomJS a versão 2.1.1 possui uma vulnerabilidade de leitura arbitrária de arquivos, conforme demonstrado por um XMLHttpRequest para um file:// URI. A vulnerabilidade existe na função page.open() do módulo de página da web, que carrega um URL especificado e chama uma callback específica. Um atacante pode fornecer um arquivo HTML especialmente criado, como entrada do usuário, que permite a leitura de arquivos arbitrários no sistema de arquivos. Por exemplo, se page.render() é função callback, isso gera um PDF ou uma imagem do arquivo de destino.