Otkrivena je ranjivost u JSON Web Token (JWT) biblioteci, koja omogućava uspješnu autentikaciju na određene poslužitelje bez posjedovanja pravih ovlasti. Napad se svodi na podvaljivanje tokena potpisanog HMAC (eng. Hash-based message authentication code) algoritmom te modificiranja zaglavlja kako bi poslužitelj mislio da se radi o RSA potpisu. Na taj način poslužitelj pretpostavlja da je javni RSA ključ ustvari privatni HMAC ključ te dopušta autentikaciju korisnika. Poslužitelje je jednostavno zaštititi onemogućavanjem da korisnik postavlja algoritam korišten za potpisivanje tokena.