Seit zwei Jahren schon schlummert der Fehler im Code von OpenSSL. So lange hätte er also schon ausgenutzt werden können. Ob das passiert ist, lässt sich im Nachhinein nicht mehr feststellen.