Billy Rios és Nathan McFeters olyan hibát találtak a Picasa Windowsos változatában, amely lehetővé teszi egy távoli támadó számára, hogy letöltse a felhasználó Picasaba töltött képeit. A hiba a program által regisztrált picasa:// URI kezelőjében van, a problémát ráadásul tovább súlyosbítja, hogy a támadás kivitelezéséhez nem szükséges speciális karaktereket használni az URI-ban, ez pedig elvileg lehetetlenné teszi a böngésző szintű védelmet. Ha ez nem lenne elég, a hackerek több túlcsordulásos illetve cross-application scripting hibát is felfedeztek a programban.

Részleteket azonban nem közölnek, hogy a Google-nek legyen ideje a hibák kijavítására.