В Lhasa, открытой библиотеке с реализацией форматов сжатия LZH и LHA, выявлена критическая уязвимость (CVE-2016-2347), позволяющая выполнить произвольный код во время обработки специально оформленных сжатых данных. Проблема вызвана отсутствием проверки на указание слишком малых значений в заголовке (integer underflow), что позволяет инициировать выделение буфера ненадлежащего размера, в который не вмещаются фактически имеющиеся данные. Проблема устранена в выпуске Lhasa 0.3.1

Уязвимость может проявиться в различных инструментах и программах, использующих Lhasa для работы с архивами в форматах LZH и LHA. Например, атаке подвержены различные системы фонового сканирования содержимого файловых архивов и проверки почтовых вложений, которые автоматически обрабатывают данные в редко используемых форматах.