При неправильном пароле сервер делает двухсекундную задержку, которой не бвает при неправильном имени. Это позволяет обнаружить имена пользователей. Кроме того, при создании лог-файла не проверяются символьные линки, при этом лог-файл содержит в открытом виде пароли пользователей.