RC4 tiene sesgos conocidos, que se han medido con gran precisión. La explotación de estos sesgos en un ataque real requiere la observación de muchas (millones) de conexiones sucesivas donde algunos datos secretos específicos (por ejemplo, una contraseña dada) siempre aparecen en el mismo lugar. Este escenario puede ser forzado en condiciones de laboratorio, pero apenas se aplica a situaciones prácticas de la vida real. Esta es la razón por la que generalmente se considera "no urgente" a RC4 obsoleto.
Algunos clientes de SSL prefieren RC4 sobre AES debido a la mala prensa sobre el ataque BEAST (a pesar de que los mismos clientes no son realmente vulnerables a BEAST).