RC4 ha pregiudizi noti, che sono stati misurati con grande precisione. Sfruttare questi pregiudizi in un attacco effettivo richiede l'osservazione di molti (milioni) di connessioni successive in cui alcuni specifici dati segreti (ad esempio una determinata password) appaiono sempre nello stesso punto. Tale scenario può essere forzato in condizioni di laboratorio, ma si applica a malapena a situazioni pratiche e reali. Questo è il motivo per cui di solito è considerato "non urgente" per l'obsoleto RC4.
Alcuni client SSL preferiscono RC4 su AES a causa di tutta la cattiva stampa dell'attacco BEAST (nonostante gli stessi clienti non siano effettivamente vulnerabili a BEAST).