Volgens informatie van zoekmachine Shodan zijn er nog steeds 199.500 kwetsbare hosts op het internet te vinden als gevolg van het Heartbleed-lek in OpenSSL. Het bestaan van de kwetsbaarheid kwam in april 2014 aan het licht.
Shodan heeft een Heartbleed-rapport gepubliceerd, waarin de cijfers naar voren komen. Het blijkt dat de meeste hosts in de Verenigde Staten aanwezig zijn, met ongeveer 42.000 kwetsbare installaties. Op de tweede en derde plek staan respectievelijk Zuid-Korea en China, gevolgd door Duitsland en Frankrijk. Nederland of België komen niet in de top tien voor. De kwetsbare hosts draaien in veel gevallen Apache of Nginx.
Een maand nadat Heartbleed in het nieuws was gekomen, was het aantal kwetsbare hosts gedaald van 615.000 naar 318.000, zo bleek uit onderzoek van Robert Graham. Dit aantal lijkt sindsdien niet meer sterk te zijn gedaald, uitgaande van de juistheid van de gegevens. Heartbleed, ook wel bekend als CVE-2014-0160, was voor zijn ontdekking ongeveer twee jaar aanwezig in OpenSSL en maakte het mogelijk om het geheugen van een webserver uit te lezen. Daardoor was het bijvoorbeeld mogelijk om privésleutels te achterhalen.
De ernst van de kwetsbaarheid was zeer groot, omdat deze gevolgen had voor veel aan het internet verbonden apparaten en omdat deze vrij eenvoudig te gebruiken was. De kwetsbaarheid was in de code terechtgekomen doordat een ontwikkelaar vergat een variabele te valideren en doordat deze niet werd opgemerkt tijdens de controle.