Quasi durch die Hintertür, versteckt in den Release Notes, habe OTRS in einer Minor-Version eine Paketverifikation eingeführt, die die Anwender des Issue Trackers bespitzele, lautet der Vorwurf. Der IT-Dienstleister Cape IT schreibt in seiner Pressemitteilung: "Die Verifikation erfolgt bei jedem Abruf des Paket-Managements sowie bei jeder Paket-Installation beziehungsweise bei jedem Paket-Update. Alle lokal installierten organisationsspezifischen OTRS-Pakete werden damit der OTRS AG bekannt. Das Verifikationsverfahren analysiert die Paketnamen und -prüfsummen, und der Administrator erhält für alle Pakete, die nicht von der OTRS AG stammen, Benachrichtigungen, dass diese Pakete die Sicherheit und Stabilität des Systems beeinträchtigen könnten."

Als Schlussfolgerung empfiehlt Cape IT den OTRS-Anwendern, das alternative Repository auf den hauseigenen Servern oder OPAR (OTRS Package Archive) zu verwenden. Die dort angebotenen Versionen enthalten ein Modul namens ConfigureCallHome, mit dem der Admin die Benachrichtigungseinstellungen konfigurieren kann.

Der Softwarehersteller OTRS AG hat mit einer eigenen Pressemitteilung auf die Vorwürfe reagiert. Das Unternehmen betont, die Bekanntgabe der Änderung in den Release Notes entspreche gängiger Open-Source-Praxis. Bei der Verifikation würden zudem "lediglich die Paketnamen und die Prüfsummen analysiert, welche keine Rückschlüsse auf die Identität des Nutzers zulassen." Eine Weiterverwertung der Daten finde nicht statt. Zudem begrüße der Hersteller weiterhin jedes zur Verifizierung eingereichte Open-Source-Paket.

Die Vorwürfe der Cape IT würden die Meinung Einzelner wiedergeben und seien nicht repräsentativ, schreibt OTRS außerdem. Zudem äußerst der Hersteller Bedenken gegenüber OPAR, in dem "jeder unter Verwendung eines Pseudonyms ohne jegliche Sicherheitsprüfung Pakete veröffentlichen" könne.