Jusqu'alors présenté comme la garantie de la confidentialité des transactions sécurisées sur Internet, le protocole SSL a été mis en défaut du fait d'implémentations erronées dans plusieurs navigateurs web, Internet Explorer (Microsoft) et Konqueror (Linux). La faille ouvre une large porte aux pirates qui souhaitent intercepter les informations, généralement confidentielles, échangées dans le cadre de transactions SSL.

C'est Mike Benham, un chercheur en sécurité, qui est à l'origine de la découverte. Il explique qu'Internet Explorer vérifie la validité des certificats qu'il reçoit lors de l'établissement d'une connexion protégée par SSL mais néglige la vérification de celle du ou des certificats qui ont servi à l'établir. Ainsi, une personne mal intentionnée en possession d'un certificat valide et authentique peut établir de faux certificats et s'interposer au milieu d'une connexion sécurisée, sans que l'utilisateur en soit averti.

Les versions 5, 5.5 et 6.0 d'IE, le plus utilisé des navigateurs Web, sont vulnérables. Comme l'est Konqueror 3.0, installé sous Linux avec l'environnement graphique KDE. Le navigateur libre Mozilla, par contre, ne serait par contre pas concerné.