Een beveiligingslek OpenSSL zorgt ervoor dat vervalste certificaten toch als legitiem worden beschouwd. Via een man-in-the-middle aanval is het mogelijk om een SSL-verbinding te compromitteren, zonder dat op OpenSSL-gebaseerde clients hiervoor waarschuwen. Hierdoor kan een aanvaller de communicatie afluisteren. De oorzaak van het probleem ligt in het verkeerd controleren van DSA en ECDSA sleutels. Beide algoritmen zijn als alternatief voor RSA te gebruiken. Certificaten met RSA sleutels zijn niet kwetsbaar. Voor het slagen van de aanval moet een slachtoffer wel verbinding met een SSL/HTTPS server maken die DSA certificaten gebruikt. Volgens cijfers van Netcraft zijn er slechts 31 gevalideerde DSA-certificaten uitgegeven.

Het lek bevindt zich in alle OpenSSL releases voor versie 0.9.8j. Het probleem is daarnaast ook aanwezig in de BIND name server, ntp.org's NTP client en Sun's GridEngine. In het geval van BIND stelt het lek een aanvaller in staat om een vervalst name request te injecteren, zelfs als de infrastructuur door DNSSEC beschermd wordt. Naast het installeren van de update, is ook het uitschakelen van de DSA en ECDSA algoritmen in de configuratie een optie.