UPnP protokol neimplementuje žádnou [[autentizace|autentizaci]], takže UPnP zařízení musí implementovat jejich vlastní autentizační mechanismy, nebo implementovat Device Security Service. Bohužel hodněHodně UPnP zařízení však postrádá autentizační mechanismy a standardně předpokládá, že lokální systémy a jejich uživatelé jsou plně důvěryhodní. Routery a firewally na kterých běží UPnP IGD protokol, jsou napadnutelné, protože kostra IGD implementace opomíjí standardní autentizační metodu. Například programy vytvořené v [[Adobe Flash]] jsou schopné generování specifických HTTP dotazů. Router s implementací UPnP IGD protokolu pak může být pomocí těchto dotazů kontrolován škodlivými stránkami, stačí aby uživatel s routerem na kterém je povoleno UPnP tyto stránky pouze navštívil. Kód vložený do Flashového objektu na stránce pak může bez vědomí uživatele provést následující akce:
* [[Přesměrování portu|přesměrování]] interních služeb (portů) na internetovou stranu routeru (např. vystavení počítače za Firewallem akcím z Internetu, například útokům)
