Varje gång en användare ansluter till en server som nyttjar programvaran OpenSSL för att kryptera sin trafik så kan vem som helst hämta information i okrypterad form direkt från serverns minne. Informationen kan innehålla användarnamn, lösenord och även krypteringsnycklarna som används för själva anslutningen - och då kan hackaren i värsta fall avkryptera både tidigare och framtida kommunikation.
Mängden information som hackaren kan hämta är begränsad till 64 000 tecken, men attacken kan utföras flera gånger utan att det syns i några loggar och därför kan servrar "tömmas" på information i takt med att nya användare loggar in.
En av dem som bloggat om händelsen är den ansedde säkerhets- och kryptoexperten Bruce Schneier.
"Enkelt uttryckt kan en användare kapa åt sig 64 kilobyte av serverns minne. Attacken lämnar inga spår och kan utföras flera gånger för att kapa åt sig flera slumpmässiga 64 kilobyte åt gången. Det betyder att allt som finns i minnet - privata SSL-nycklar, användarnas lösenord, rubbet - går att komma åt."
Enligt Schneier måste internetanvändare förbereda sig på att precis allt de har gjort på nätet via sajter som använder OpenSSL nu kan ligga i öppen dager. Det inkluderar sajter som Facebook, Google och Yahoo.
"'Katastrofalt' är det rätta ordet att använda. På en skala från ett till tio, ligger detta på elva", skriver Bruce Schneier.
När en bloggläsare frågar Schneier om han tror att säkerhetstjänster såsom NSA och GCHQ har känt till den säkerhetsbuggen på förhand - och därmed har kunnat avlyssna så gott som all krypterad internettrafik i flera år - svarar han nej.
"Min gissning är att de fick det här klart för sig igår, och att de samtidigt satte igång att börja utnyttja det", skriver Bruce Schneier i en kommentar på sin egen blogg.
