Vào tháng 2 năm 2019, một lỗ hổng bảo mật lớn trong thư viện unacev2.dll được WinRAR sử dụng để giải nén tài liệu lưu trữ của ACE đã được phát hiện.[15][16] Do đó, WinRAR đã bỏ hỗ trợ cho định dạng ACE từ phiên bản 5.7.

Lưu trữ tự giải nén được tạo với các phiên bản trước 5.31 (bao gồm cả trình cài đặt thực thi của chính WinRAR) dễ bị tấn công DLL: chúng có thể tải và sử dụng các tệp DLL có tên UXTheme.dll, RichEd32.dll và RichEd20.dll nếu chúng nằm trong cùng thư mục các tập tin thực thi.[17]

Nó đã được báo cáo rộng rãi rằng WinRAR v5.21 và trước đó có lỗ hổng thực thi mã từ xa (RCE) có thể cho phép kẻ tấn công từ xa chèn mã độc vào tệp thực thi (SFX) tự giải nén được tạo bởi người dùng, "đưa hơn 500 hàng triệu người dùng phần mềm có nguy cơ ".[18]  Tuy nhiên, kiểm tra khiếu nại cho thấy, trong khi lỗ hổng tồn tại, kết quả chỉ là một SFX phân phối tải trọng của nó khi được thực thi; các câu trả lời được công bố đã loại bỏ mối đe dọa này, một người nói rằng "Nếu bạn có thể tìm thấy những kẻ hút người sẽ tin tưởng một.exe được gắn nhãn là kho lưu trữ tự giải nén... thì bạn có thể lừa họ chạy JavaScript nhập lậu của bạn".[19][20]