L'handshake TKIP è completato a metà; il punto di accesso e la stazione hanno scambiato i primi due messaggi. Ora, prima che il punto di accesso possa inviare il terzo messaggio alla stazione, un utente malintenzionato invia un falso messaggio contenente l'autentico MAC del punto di accesso, il numero di sequenza corretto, ma un falso nonce. Cosa potrebbe fare un aggressore con questo attacco? Inoltre, il MIC che fa parte di questo messaggio è mai stato controllato dalla stazione?