A falha, que segundo os investigadores permaneceu explorável durante sete anos, levanta sérias questões sobre a segurança da mais popular aplicação de mensagens do mundo. A investigação, conduzida por académicos da Universidade de Viena, explorou o mecanismo de descoberta de contactos da aplicação, que verifica se um número de telefone está associado a uma conta. Os especialistas conseguiram automatizar este processo em larga escala, testando até 7.000 números por segundo sem serem bloqueados, o que lhes permitiu confirmar a existência de 3,5 mil milhões de contas ativas, um número que "ultrapassa os ‘mais de 2 mil milhões de pessoas’ declarados oficialmente pelo WhatsApp". Além dos números de telefone, foi possível extrair fotografias de perfil de 57% dos utilizadores, descrições de estado ("Recado") e chaves públicas de encriptação.

Os artigos sublinham que a vulnerabilidade não é nova, tendo sido reportada uma falha semelhante em 2017, que a Meta (na altura Facebook) terá desvalorizado. Apenas após esta nova denúncia, em abril de 2025, é que foram implementadas contramedidas em outubro.

O potencial impacto da exposição é descrito como "a maior fuga de dados da história", podendo os dados ser usados para campanhas de phishing, spam ou outras atividades maliciosas. O incidente realça os riscos estruturais de usar números de telefone como identificadores primários.