Ein Angreifer, der Zugang zum X-server eines Rechners hat, hat z. B. die Möglichkeit, Bildschirminhalte zu kopieren, Tastendrucke zu protokollieren oder Mausbewegungen zu erzeugen [Bisch94]. Er könnte also in den Besitz von geheimen Informationen gelangen, wenn er eine Kopie des Bildschirms erstellt, während der Benutzer gerade ein Dokument mit den entsprechenden Daten betrachtet. Auch kann er Paßworte erlangen, indem er sämtliche Tastatureingaben mitprotokolliert, die auf dem entsprechenden Rechner gemacht werden. Eröffnet der dort eingeloggte Benutzer dann z. B. eine telnet-Verbindung, so kann der Angreifer das verwendete Paßwort mitlesen.
Wie oben bereits erwähnt, sind vor allem die älteren Versionen des X11-Protokolls nicht mit ausreichenden Zugangskontrollen versehen, um unberechtigten Benutzern den Zugang zum server zu verwehren. Auch die neue Version, die mit Hilfe des magic cookies die Kontrolle auch auf einzelne Benutzer ausdehnt, kann nicht als ausreichend sicher angesehen werden, da viele Benutzer mehr Wert auf Bequemlichkeit anstatt auf Sicherheit legen. Insbesondere wenn ein Benutzer verschiedene Anwendungen auf verschiedenen Rechnern laufen läßt, besteht die Gefahr, daß er auf die umständliche Übertragung des magic cookies verzichtet und stattdessen die Kontrolle vollständig deaktiviert. Viele Benutzer gestatten somit jedem Angreifer, eine Verbindung zum X-server aufzubauen, um sich die Mühe zu ersparen, jeden X-client einzeln zu autorisieren und gefährden somit unwissentlich die Sicherheit ihres Rechners und des gesamten Netzes.