Energiecentrales, de watervoorziening en andere belangrijke onderdelen van de infrastructuur waren door een beveiligingslek in de beheersoftware kwetsbaar voor hackers en kwaadwillende werknemers. CitectSCADA is software voor het besturen van Supervisory Control And Data Acquisition (SCADA) systemen, veel gebruikt voor kritieke infrastructuur en industrieën. Door een geprepareerd pakket naar de software te sturen zou een aanvaller het systeem kunnen overnemen. Nu zouden SCADA-systemen niet op het internet aangesloten moeten zijn, de praktijk wijst anders uit. Door lakse beveiligingsmaatregelen kan men bijvoorbeeld de SCADA-systemen aansluiten op routers waar weer computers op zijn aangesloten die verbinding met het internet hebben.

Volgens experts geeft het beveiligingslek aan dat het mogelijk is voor hackers of andere aanvallers om de stroomvoorziening van complete steden uit te schakelen, de watervoorziening te vergiftigen of een kernreactor uitzetten. Eerder lukte het auditors al om een elektriciteitscentrale via een browser exploit te hacken en demonstreerde het Amerikaanse Ministerie van Homeland Security een video van een aanval op het elektriciteitsnet.

Citect laat in een verklaring weten dat klanten hun SCADA-systemen in z'n geheel van het internet moeten scheiden of ervoor moeten zorgen dat ze firewalls en andere technologieën gebruiken om te voorkomen dat de systemen met de buitenwereld praten. En dat is zeker nodig, want het beveiligingslek was eenvoudig te vinden, wat betekent dat ook anderen het hadden kunnen ontdekken, zegt Ivan Arce van Core Security, het bedrijf dat het lek vond. Verder blijkt dat Citect vijf maanden nodig had om de kwetsbaarheid te verhelpen, een erg lange tijd voor een lek van deze omvang, laat Nate McFeters weten, die een aantal scenario's geeft van mogelijke aanvallen tegen SCADA-systemen.