Согласно записи в Википедии о TrueType, во время рендеринга используется язык подсказок. Этот язык хинтовки обрабатывается виртуальной машиной, но он дает возможность вредоносному хинтингу кода использовать уязвимости в различных реализациях этой виртуальной машины.
Обратите внимание, что некорректные невыполненные данные могут привести к переполнению буфера и разрешить выполнение кода там, где он не должен, поэтому тот факт, что формат данных не содержит ни исполняемый, ни виртуально исполняемый код, не означает, что нет уязвимости, которые могут привести к удаленному выполнению кода.