มาตรฐานของ OpenPGP นั้นกำหนดให้ใช้ลายเซ็นดิจิทัล (digital signature) ได้หลายแบบ ในปี ค.ศ. 2003 มีความตั้งใจเพื่อที่จะทำให้การทำลายเซ็นดิจิทัลแบบหนึ่งใน GnuPG ซึ่งมีประสิทธิภาพและความปลอดภัยมากยิ่งขึ้น แต่เกิดข้อผิดพลาดในการเปลี่ยนแปลงทำให้ GnuPG มีช่องโหว่ทางความปลอดภัย โดยจะมีกระทบกับรูปแบบของการส่งข้อความที่ใช้ลายเซ็นดิจิทัลเพียงแค่รูปแบบเดียว ซึ่งจะเป็นเพียงแค่ GnuPG เวอร์ชัน 1.0.2 ถึง 1.2.3 เท่านั้น และมี key ที่มีปัญหาน้อยกว่า 1000 key ลายเซ็นดิจิทัลรูปแบบนี้เป็น แบบที่ไม่นิยม จึงทำให้เกิดความเสียหายน้อย และรูปแบบดังกล่าวก็ถูกลบจาก GnuPG ในเวอร์ชันตั้งแต่เวอร์ชัน 1.2.4 เป็นต้นไป ปัญหาอีกอย่างอย่างที่พบในต้นปี ค.ศ. 2006 นั้นก็คือ ปัญหาแรกคือการตรวจสอบสายเซ็นโดยใช้ GnuPG ผ่าน script อาจทำให้ผลออกมาว่าลายเซ็นถูกต้องทั้งที่ไม่ควรที่จะเป็น ปัญหาที่สองคือข้อความที่ไม่ใช้ MIME มีการเพิ่มข้อมูล จะรายงานว่าเป็นส่วนหนึ่งของข้อความที่เซ็นแล้วด้วย ปัญหาทั้งสองก็ประกาศออกมาพร้อมกับ GnuPG ที่ปรับปรุงแล้ว

GnuPG เป็นระบบแบบ command line ที่ไม่ได้เขียนให้เป็น API ที่สามารถจะทำงานร่วมกับซอฟต์แวร์ตัวอื่นได้ มี GPGME ที่ทำตัวเป็น API wrapper โดยตีความผลลัพธ์จาก GnuPG และยังมีการสร้าง front end แบบกราฟิกหลายตัวด้วย วิธีนี้ทำให้ต้องเรียกโปรแกรม GnuPG สำหรับการเรียกใช้ API ของ GPGME แต่เนื่องจาก GPGME ได้นำอินเทอร์เฟสของ GnuPG ที่ออกแบบมาโดยเฉพาะสำหรับให้โปรแกรมติดต่อซึ่งกันและกัน จึงทำให้ API มีความเสถียร ปัญหาในเรื่องความปลอดภัยก็ยากที่จะเกิดขึ้นเนื่องจากปัญหาในโปรแกรมประยุกต์จะไม่กระทบถึงโค้ดการเข้ารหัสถอดรหัสจริง เนื่องอยู่คนละ process กัน