Existe un ActiveX que se debe instalar para realizar las declaraciones telemáticas de IVA que todas las sociedades tienen que presentar obligatoriamente a través de Internet. Tiene ciertas protecciones, pero gracias a una vulnerabilidad XSS en la web de la AEAT es posible modificar archivos del programa PADRE, o incluso leer datos fiscales y personales y enviarlos a cualquier servidor. La AEAT está avisada desde hace más de un mes pero la vulnerabilidad todavía sigue presente.