Az iOS 4.3.5-ös illetve 4.2.10-es verzóiban egy olyan X.509 tanúsítványok kezelésével kapcsolatos problémát javítottak, melynek első változatát kilenc éve az Internet Explorerrel kapcsolatban fedezte fel Moxie Marlinspike. A probléma oka, hogy az operációs rendszer tanúsítványkezelő API-ja nem ellenőrzi a tanúsítványlánc köztes tagjainak ún. Basic Constraintjeit, melyek jelzik, hogy az adott tanúsítvány tulajdonosa rendelkezik-e CA jogkörrel. Ennek következtében ha az attacker.com domain tanúsítványát az iOS számára elismert szervezet, pl. a VeriSign hitelesítette, a domain tulajdonosa kiállíthat tetszőleges domainre, pl. a paypal.com-ra érvényes tanúsítványokat, melyeket a frissítetlen iOS-es eszközök úgy fognak elfogadni, mintha azokat a VeriSign hitelesítette volna.