Se trata de una vulnerabilidad bastante seria en SSL. Resumidamente, se trata de un clásico man-in-the-middle que podría explotar la renegociación de SSL para inyectar un prefijo arbitrario en cualquier sesión SSL, lo que pasaría inadvertido a ambos lados de la conexión. Se han demostrado ataques prácticos contra la autenticación por certificados en el cliente contra versiones recientes de los servidores Apache y Microsoft IIS en varias plataformas y clientes. También se han demostrado casos que no necesitan de certificados en el cliente.via /.