In iOS en iPadOS 16 verhielp Apple naast CVE-2023-38606 ook CVE-2023-37450, een kwetsbaarheid in WebKit waardoor een aanvaller willekeurige code kan uitvoeren.

Alleen het bezoeken van een malafide of gecompromitteerde website of het te zien krijgen van besmette advertenties is voldoende voor een aanvaller om misbruik van het lek te maken. Dergelijke aanvallen worden ook wel een drive-by download genoemd.

Het beveiligingslek in de iOS-kernel (CVE-2023-38606) werd gevonden door onderzoekers van antivirusbedrijf Kaspersky. De virusbestrijder stelt dat de kwetsbaarheid is ingezet bij een jarenlange campagne waarbij iPhones via een reeks kwetsbaarheden met spyware werden besmet. Het ging om een "0-click exploit chain", waarbij geen enkele interactie van slachtoffers was vereist om geïnfecteerd te worden.