Actualización de firmware: Shim no parece iniciar fwupdx64.efi con el arranque seguro habilitado

Intenté realizar una actualización de firmware en un ThinkPad L14 usando fwupdmgr en Fedora 34. Todo parecía estar bien hasta que el programa me dijo que reiniciara, lo cual hice, pero se inició Fedora en lugar del actualizador de firmware. Intenté cambiar el orden de inicio manualmente, eliminando una entrada de inicio de Windows no utilizada con efibootmgr y varias combinaciones de configuraciones del BIOS sobre cuándo y cómo permitir actualizaciones de firmware, pero nada funcionó. Finalmente, descubrí que al desactivar el arranque seguro, el actualizador se inicia y la actualización se completa correctamente. Luego, pude volver a habilitar el arranque seguro y mi sistema operativo arrancó normalmente. Además, fwupdmgr dice que la actualización se instaló correctamente.

Bueno, parece que mi problema está resuelto, pero me gustaría saber por qué funcionó la solución. Pensé que el cargador de arranque shim no solo arrancaría el sistema operativo sino también el actualizador y, debido a que el shim está firmado por Microsoft, no debería haber ningún problema con tener el arranque seguro habilitado.

En caso de que se necesite más información para encontrar la solución, dímelo en un comentario y la agregaré. No sé mucho sobre actualizaciones de firmware y, por lo tanto, difícilmente puedo decir qué se necesitaría.