Am 14. Januar 2025 veröffentlichte Microsoft im Rahmen seines monatlichen Patchdays die Details zu Schwachstellen, die im Januar durch Sicherheitsupdates adressiert werden. Darin enthalten sind in der aktuellen Ausgabe auch Informationen zu einer Sicherheitslücke, die aufgrund ihrer Kritikalität stark priorisiert mitigiert werden sollte. Die Schwachstelle mit der Kennung CVE-2025-21298 betrifft die Windows- und Windows-Server-Produktlinie, bzw. die dort zum Einsatz kommende Technologie Windows Object Linking and Embedding (OLE), die das Einbetten und Verlinken von Dokumenten sowie anderen Objekten erlaubt. Windows OLE wird u.a. auch in Microsoft-Office-Produkten wie Outlook eingesetzt.

Für einen erfolgreichen Angriff soll es nach Angaben von Microsoft ausreichend sein, wenn ein Nutzer in Microsoft Outlook eine speziell manipulierte E-Mail öffnet oder diese in der Voransicht angezeigt wird. 
Microsoft gibt an, bislang keine Ausnutzung von CVE-2025-21298 beobachtet zu haben.