Kwaadwilligen kunnen met een beetje voorwerk de sessie van een gebruiker afluisteren, en bijvoorbeeld toetsaanslagen en tokens meepikken. Daarmee omzeilen ze de same origin policy van browsers, en ook beveiligingsmechanieken als Security Zones (Internet Explorer) of NoScript (Firefox).

De fout schuilt in het overschrijven van het document.cookie-element van een sessie. Met een trucje is namelijk te voorkomen dat dit plaatsvindt, terwijl de sessie gewoon doorgang vindt. Aanvallers krijgen zo de beschikking over de cookies, waarmee de sessie te kapen valt.

Enige belemmeringen voor de hacker zijn dat hij specifiek moet weten welk domein hij moet hebben, en dat hij de gebruiker zover moet krijgen om een bezoek te brengen aan een door hem gefabriceerde webpagina. Een oplossing of patch bestaat er nog niet, en US-CERT adviseert beheerders om na te denken over eventuele beperkende maatregelen. Je kunt bijvoorbeeld de VPN server-netwerkconnectiviteit beperken tot specifieke urls.

Van Cisco, Juniper, SafeNet en SonicWALL is al duidelijk dat de VPN-producten kwetsbaar zijn. Van een groot aantal anderen is dat niet het geval. Extreme Networks en CA behoren tot het gezelschap leveranciers zonder dit probleem.