Laut Recherchen des US-Magazins wurden auf dem Server von Mossack Fonseca unter anderem völlig veraltete Versionen der Content Management Systeme WordPress und Drupal betrieben. Ob diese den Angreifern, die die Dokumente entwendeten und an die Presse weitergaben, Zugang verschafft haben, ist zwar nicht geklärt. Doch es muss angenommen werden, dass andere Bereiche der IT-Systeme zumindest ebenso schlecht gewartet wurden.
Die WordPress-Installation auf dem Server der Kanzlei stand zum Zeitpunkt der Untersuchung beispielsweise noch bei der Fassung 4.1, die im Dezember 2014 veröffentlicht wurde. Das weltweit beliebteste CMS steht aktuell in der Version 4.4.2 zur Verfügung. Noch älter – gute drei Jahre – ist die Version Drupal 7.23, die hier Verwendung fand. Seitdem veröffentlichten die Entwickler 25 Sicherheits-Updates.
Es wurde aber auch ein anderer möglicher Angriffspunkt ausgemacht. So setzte man in der Kanzlei für die E-Mail-Nutzung auch eine veraltete Fassung von Outlook Web Access ein. Auch hier hätte sich ein Angreifer Zugang zu Informationen verschaffen können, die den Weg zu weitergehenden freimachten. Verschlüsselungsverfahren kamen hier schon gar nicht zum Einsatz.
Die genaue Herkunft der fraglichen Dokumente ist bislang weiter unklar. Fest steht nur, dass es sich insgesamt um Daten in einem Umfang von 2,6 Terabyte handelt – darunter Millionen E-Mails, zahlreiche Dokumente sowie mehrere Datenbank-Dumps. Enthalten sind allerlei Angaben über Briefkastenfirmen, mit denen Firmen und Personen aus aller Welt Gelder in Steuer-Oasen parkten.