Усім карыстачам, якія загружалі файл "Python-3.5.8.tar.xz" у першыя 12 гадзін пасля рэлізу, рэкамендуецца праверыць карэктнасць загружаных дадзеных па кантрольнай суме (MD5 4464517ed6044bca4fc78ea9ed086c36). У адрозненне ад фінальнага рэлізу папярэдняя версія не ўключала выпраўленне уразлівасці CVE-2019-16935 у кодзе сервера XML-RPC. Уразлівасць дапушчала падстаноўку JavaScript-кода (XSS) праз поле server_title з-за адсутнасці экранавання кутніх дужак. Атакуючы мог дамагчыся падстаноўкі JavaScript-кода ў выпадку, калі прыкладанне ажыццяўляе ўсталёўку імя сервера на аснове карыстацкага ўводу (напрыклад, «server.set_server_name('test ’)»).