Audit kellett hogy legyen, főleg ilyen kényes crypto/cert témában, csak valószínűleg nem tartották kritikus területnek a terminál szerverek licenceléséhez használt kódokat ("warezban úgyis megkerülik a crackerek a védelmet patcheléssel, a vállalatok meg nem fognak vele trükközni, kifizetik a CALokat").
Itt az MS belső tanúsítvány kibocsátó eljárási rendjével is gond lehet, hogy a terminál szerverek licencelésével foglalkozó csapat eleve kapott ilyen aláíró tanúsítványt, amelyik kód hitelesítésre is használható... de lehet én értek félre valamit a storyból.