वीडियो कॉन्फ़्रेंसिंग सॉफ़्टवेयर ज़ूम में एक सुरक्षा भेद्यता ने उन उपयोगकर्ताओं के लिए इसे संभव बना दिया, जिन्हें अभी तक किसी भी बैठक में देखने के लिए भर्ती नहीं किया गया था। ज़ूम एक "प्रतीक्षा कक्ष" प्रदान करता है, जहाँ सभी व्यक्ति जो किसी बैठक में भाग लेना चाहते हैं, उन्हें समायोजित किया जा सकता है। मीटिंग का मेज़बान तब वेटिंग रूम में मौजूद लोगों को मीटिंग में जाने की अनुमति दे सकता है। इससे बैठक में सीधे पहुंच को रोका जा सकता है।
यह पता चला कि ज़ूम सर्वरों ने स्वचालित रूप से मीटिंग की लाइव वीडियो स्ट्रीम, साथ ही मीटिंग की डिक्रिप्शन कुंजी, वेटिंग रूम के सभी उपयोगकर्ताओं को भेज दी थी। वे बैठक देख सकेंगे, भले ही मेजबान ने इसके लिए अनुमति न दी हो। ज़ूम-बमबारी जैसे दुरुपयोग को रोकने के लिए ज़ूम प्रतीक्षा कक्ष के उपयोग की अनुशंसा करता है। बैठक का ऑडियो वेटिंग रूम में लोगों को नहीं भेजा गया।
सिटीजन लैब के शोधकर्ताओं, एक प्रयोगशाला जो टोरंटो विश्वविद्यालय का हिस्सा है, ने भेद्यता की खोज की और अप्रैल की शुरुआत में ज़ूम को इसकी सूचना दी। 7 अप्रैल को, ज़ूम ने अपने सर्वर पर एक सुरक्षा अद्यतन किया, जिसने भेद्यता को हल किया। नतीजतन, सिटीजन लैब ने अब सुरक्षा उल्लंघन का विवरण सार्वजनिक कर दिया है।
इससे पहले, सिटीजन लैब ने जूम के साथ सभी प्रकार की समस्याओं के बारे में एक व्यापक रिपोर्ट प्रकाशित की थी, जिसमें इस्तेमाल किए गए एन्क्रिप्शन और गैर-चीनी उपयोगकर्ताओं की एन्क्रिप्शन कुंजी चीनी सर्वरों को भेजी गई थी। इसके अलावा, ऐसा प्रतीत होता है कि ज़ूम, एक अमेरिकी कंपनी, लगभग 700 कर्मचारियों की तीन चीनी कंपनियों का मालिक है, जिन्हें ज़ूम सॉफ़्टवेयर विकसित करने के लिए भुगतान किया जाता है। इस बीच, ज़ूम ने गैर-चीनी उपयोगकर्ताओं के लिए चीनी सर्वर का उपयोग करना बंद कर दिया है। इसके अलावा, कंपनी का कहना है कि वह एंड-टू-एंड एन्क्रिप्शन को लागू करेगी, लेकिन इसमें अभी भी महीनों लग सकते हैं।