Existe sempre um potencial para o código malicioso ser distribuído em qualquer formato ou programa, etc. Os transbordamentos de buffer permitem que um código arbitrário seja executado. Existem outras maneiras de entrar também. Seria difícil, mas sempre existe uma maneira, já que os computadores são máquinas finitas e isso limita suas chances de segurança absoluta.
Ultimamente, a Adobe tem sido criticada e chamada de "Microsoft pré-2002" pelas falhas no Flash, então podemos ver mais e mais falhas com isso e com o Reader. Para a tag video no HTML 5, isso dependeria do codec e da implementação do navegador.