Всем пользователям, загружавшим файл «Python-3.5.8.tar.xz» в первые 12 часов после релиза, рекомендуется проверить корректность загруженных данных по контрольной сумме (MD5 4464517ed6044bca4fc78ea9ed086c36). В отличие от финального релиза предварительная версия не включала исправление уязвимости CVE-2019-16935 в коде сервера XML-RPC. Уязвимость допускала подстановку JavaScript-кода (XSS) через поле server_title из-за отсутствия экранирования угловых скобок. Атакующий мог добиться подстановки JavaScript-кода в случае, если приложение осуществляет установку имени сервера на основе пользовательского ввода (например, «server.set_server_name(‘test<script>’)»).