Laut Ars Technica veröffentlichte Google im Einklang mit der 90-tägigen Offenlegungspraxis von Project Zero den vollständigen Exploit-Code für die kritische Schwachstelle (CVE-2026-1504) im Background Fetch API von Chromium. Diese Schwachstelle erlaubt es Angreifern, durch bloßes Besuchen einer bösartigen Webseite einen persistenten Service Worker auf dem Gerät zu installieren – dieser bleibt auch nach einem Neustart aktiv und kann genutzt werden, um Netzwerkverkehr zu überwachen, Surfaktivitäten zu proxyen oder das Gerät in ein DDoS-Botnetz einzubinden, ohne dass weitere Benutzerinteraktionen nötig wären. Für Chrome steht bereits das Update 144.0.7559.110 bereit; der Forscher erhielt dafür eine Belohnung von 3.000 US-Dollar.
Kontrovers diskutiert wird jedoch, dass Microsoft Edge sowie zahlreiche andere Chromium-basierte Browser zum Zeitpunkt der Veröffentlichung des Exploit-Codes noch keine Patches bereitstellten. Bei in Unternehmen verwalteten Browser-Flotten ist die Patch-Einführung zudem oft zeitaufwendiger, sodass viele Nutzer bis dahin weiterhin gefährdet blieben. Dieser Vorfall löste erneut die Debatte aus, ob Details zu Exploits vor Abschluss der Patch-Verteilung im gesamten Ökosystem offengelegt werden sollten: Befürworter argumentieren, dass dadurch Hersteller zu schnellerem Handeln gedrängt werden; Gegner befürchten hingegen, dass Angreifer so Werkzeuge zur eigenen Nutzung erhalten. Nutzer von Chromium-basierten Browsern außerhalb von Chrome sollten daher umgehend ihre Version prüfen und manuell nach Updates suchen.