Kriminelle Akteure können dabei den externen Link festlegen, zu dem die PDF-Datei weiterleitet. Zudem ermöglicht es MatrixPDF, Dokumente so zu ändern, dass sie überzeugend wirken. Zum Beispiel durch Einfügen eines Vorhängeschloss-Symbols oder eines Firmenlogos. Das Toolkit kann aber auch dazu verwendet werden, um den Inhalt des Dokuments zu verbergen.
Die Forscher von Varonis haben zwei Möglichkeiten identifiziert, wie Angreifer MatrixPDF einsetzen: Im ersten Fall nutzen sie die Vorschaufunktion von Gmail aus. Die von ihnen erstellte PDF-Datei kann Sicherheitsvorkehrungen und Filter umgehen, da sie nur Skripte und einen externen Link enthält, aber keinen Standard-URL-Hyperlink, der normalerweise mit Malware in Verbindung gebracht wird.
Die PDF-Datei wird normal gerendert, aber der Text des Dokuments ist unscharf, und die Benutzer erhalten eine Aufforderung zum „Öffnen des sicheren Dokuments”, die im Wesentlichen ein Phishing-Köder ist. Wenn das Opfer auf die Schaltfläche klickt, öffnet sich eine externe Website in seinem Browser. Die Forscher fanden sogar ein Beispiel, bei dem der eingebettete Link zu einem Download für einen legitimen SSH-Client auf einer öffentlichen Website führte.