Er hat gegenüber der britischen Tageszeitung Guardian eingeräumt, “die nötige Validierung versehentlich unterlassen” zu haben, als er den fehlerhaften Code an Silvester 2011 einführte.

Der Programmcode war dazu gedacht, eine Funktion namens Heartbeat zu realisieren: Ein Client und ein Server übermitteln dabei zufällige Daten, um so ihre Verbindung mit Transport Layer Security (TLS) zu bestätigen. Das Problem: Wenn ein Angreifer die Paketgröße größer angibt als tatsächlich der Fall, füllt der Server das Paket mit Daten aus seinem Speicher auf, bevor er es zurückschickt. (Anm.: Wie enjoy schon hier anschaulich gezeigt hat.)