בעיית אבטחה בגרסה העדכנית של WhatsApp ל- Windows מאפשרת שליחת קבצים מצורפים של Python ו- PHP המופעלים ללא כל אזהרה כשהנמען פותח אותם. הבעיה דומה לזו שהשפיעה על Telegram for Windows באפריל, אשר תוקנה מאוחר יותר, שבה יכלו פושעי סייבר לעקוף אזהרות אבטחה ולבצע קוד מרחוק בעת שליחת קובץ Python. יישומון WhatsApp חוסם מספר סוגי קבצים הנחשבים כסיכון למשתמשים, אך החברה אמרה ל- BleepingComputer שהיא לא מתכננת להוסיף סקריפטים של Python לרשימה. בדיקות נוספות של BleepingComputer מראה שגם קבצי PHP אינם כלולים ברשימת החסימות של WhatsApp.
חוקר אבטחת הסייבר Saumyajeet Das מצא את הפגיעות תוך כדי ניסוי בסוגי קבצים שניתן לצרף לשיחות וואטסאפ כדי לראות אם מאפשרת האפליקציה הפעלה של אחד מהקבצים המסוכנים. בעת שליחת קובץ שעלול להיות מסוכן כגון EXE, מציגה אותו WhatsApp ונותנת לנמען שתי אפשרויות: פתח או שמור בשם. עם זאת, כאשר מנסים לפתוח את הקובץ, WhatsApp ל- Windows מייצרת שגיאה, מה שמותיר למשתמשים רק את האפשרות לשמור את הקובץ במחשב ולהפעיל אותו משם.
בבדיקות BleepingComputer, הייתה התנהגות זו עקבית עם סוגי הקבצים .EXE, .COM, .SCR, .BAT ו- Perl באמצעות לקוח WhatsApp ל- Windows. הבדיקות של BleepingComputer אישרו שווטסאפ לא חוסמת את הביצוע של קבצי Python וגילו שאותו הדבר קורה עם סקריפטים של PHP.
