De acordo com a entrada da Wikipedia em TrueType , uma linguagem insinuante é usada durante a renderização. Essa linguagem de dicas é processada por uma máquina virtual, mas permite que oportunidades de código de dicas mal-intencionadas aproveitem as vulnerabilidades em várias implementações dessa máquina virtual.
Observe que dados incorretos não executados podem causar estouros de buffer e permitir que o código seja executado onde não deveria, portanto, o fato de um formato de dados não conter qualquer tipo de código executável ou virtualmente executável não significa que não são vulnerabilidades que podem resultar na execução remota de código.