Die mit Debian GNU/Linux 2.1 ausgelieferte Version von htdig hat ein Problem beim Aufruf externer Programme zur Bearbeitung von nicht-HTML Dokumenten: Sie ruft das externe Programm mit dem Dokument als Parameter auf, prüft aber nicht auf Shell-Escape-Sequenzen. Dies kann ausgenutzt werden, indem Dateien mit Shell-Escape-Sequenzen im Dateinamen erzeugt werden, um beliebige Kommandos auf der Maschine, auf der htdig läuft, auszuführen.