実際に、SSLの実装には問題が2つある。1つは、ログインページが終わると多くのサイトがSSLを使用していないこと。このため、利用者のクッキーがネットワーク上で傍受される恐れがある。この脆弱性を利用するツールは、Perry氏が2007年にこの脆弱性を発表すると同時期に、Errata SecurityのRobert Graham氏がリリースしている。
もう1つは、正しいユーザー名とパスワードを使っているマシンを特定するためのセッションクッキーが、「secure(セキュア)」と「insecure(非セキュア)」という2つのモードを持っていること。