OpenSSL-signatures worden onvoldoende op echtheid gecontroleerd door OpenSSL-versies tot en met 0.9.7j en 0.9.8b, hebben de ontwikkelaars van het pakket laten weten. De signatures, die worden gebruikt om de authenticiteit van een document te waarborgen zonder dat het document zelf gecodeerd hoeft te worden, kunnen onder bepaalde voorwaarden worden vervalst omdat de betreffende software niet alle gegevens uit een digitale handtekening analyseert. Het lek veroorzaakt met name opschudding omdat dergelijke handtekeningen ook gebruikt worden door de Certificate Authorities, die beveiligingscertificaten voor websites leveren.
De makers waarschuwen dat alle software die van de OpenSSL-programmabibliotheek gebruik maakt kwetsbaar is, en daar zitten grote namen tussen: zo leunen de beveiligde versies van de populaire Apache-webserver zwaar op OpenSSL. De fout in de OpenSSL-software kan misbruikt worden met alle PKCS #1 v1.5-signatures die met een RSA-sleutel met exponent 3 zijn aangemaakt, en volgens het team achter de software zijn dat er nogal wat. Toch hoeven gebruikers niet in paniek te raken: bankgegevens en andere persoonlijke informatie, die doorgaans gecodeerd het internet opgaan, blijft precies even onleesbaar voor derden als voorheen. Gebruikers van OpenSSL wordt aangeraden om zo snel mogelijk de nieuwste versie te installeren, waarin het probleem verholpen is. Omdat niet het aanmaken maar alleen de verificatie van gegevens het probleem is, hoeven bestaande signatures echter niet te worden vervangen.