Navraag bij het IBD leert dat er geen verificatie gedaan is bij de NCSC of het TYPO3 security team welk specifiek lek dit betrof en of het een nieuwe kwetsbaarheid was. Dit maakt het zeer aannemelijk dat het een issue betrof uit september 2016 of, zoals de IBD liet doorschemeren in het telefoongesprek, 2014.