As vulnerabilidades, identificadas como CVE-2025-11001 e CVE-2025-11002, são do tipo 'directory traversal'.

Este problema resulta da incapacidade do 7-Zip de lidar corretamente com ligações simbólicas dentro de ficheiros ZIP. Um atacante pode criar um ficheiro ZIP especialmente manipulado que, ao ser extraído pelo utilizador, escreve ficheiros fora da pasta de destino pretendida.

Isto permite que o código malicioso seja executado com os mesmos privilégios da conta do utilizador, representando uma ameaça significativa. A Zero Day Initiative da Trend Micro, que divulgou as falhas, alertou que a exploração requer interação do utilizador, como o download e a abertura de um ficheiro malicioso.

O principal fator de risco reside no facto de o 7-Zip não possuir um mecanismo de atualização automática. Dado que muitos utilizadores, especialmente em sistemas mais antigos, não atualizam o software manualmente, um número significativo de pessoas pode estar a usar versões vulneráveis.

A correção foi lançada em julho na versão 25.00, e é fortemente aconselhado que todos os utilizadores atualizem para a versão mais recente disponível.