Google Project Zero har analyserat NSO Groups "FORCEDENTRY" zero-click exploit, som de beskriver som den mest tekniskt sofistikerade de någonsin sett. Exploiten använde en PDF-fil maskerad som en GIF med en specialkodad virtuell CPU för att utnyttja en sårbarhet i Apples CoreGraphics PDF-parser via iMessage. Denna "zero-click" exploit krävde ingen användarinteraktion och ansågs vara omöjlig att försvara sig mot, förutom att inte använda enheten. Exploiten användes i en attack mot en aktivist i Saudiarabien för att installera Pegasus övervakningsverktyg. Apple patchade sårbarheten i september och har stämt NSO Group.